Riconoscimento facciale: no al trattamento di dati biometrici per il controllo delle presenze sul posto di lavoro
Garante Privacy: no al trattamento di dati biometrici dei dipendenti per il controllo delle presenze sul posto di lavoro
Con il provvedimento n. 338 del 6 giugno 2024 il Garante Privacy (di seguito “Garante”) ha inflitto ad una società operante nel settore del commercio di autovetture (di seguito “la Società”) una sanzione di 120mila euro per diversi trattamenti illeciti di dati personali nell’ambito del rapporto di lavoro con i propri dipendenti in violazione del GDPR.
Il reclamo presentato al Garante e l’attività istruttoria
A seguito dell’attività ispettiva del Garante, originata dal reclamo di un privato, è emerso che la Società aveva richiesto ai propri dipendenti di registrare l’orario di entrata ed uscita da lavoro e i tempi e le modalità delle prestazioni lavorative, dovendo loro specificare le ore dedicate ad ogni intervento e le eventuali pause. Al fine di rilevare e registrare tutte le informazioni richieste, la Società si serviva di:
- un software gestionale denominato Infinity DMS (“Software”) attraverso il quale i dipendenti dovevano registrare le ore di lavoro, le pause e le tempistiche dedicate ad ogni intervento;
- un hardware consistente in un sistema biometrico di controllo accessi e rilevamento presenze, denominato X-Face 380 (“Hardware”), con cui venivano registrate le presenze e gli orari di entrata ed uscita da lavoro, tramite il riconoscimento facciale dei dipendenti.
In relazione al caso in oggetto, il Garante ha accertato diverse condotte contrarie al GDPR, sia per quanto riguarda il trattamento dei dati personali posto in essere con l’ausilio del Software sia per quanto riguarda il trattamento effettuato tramite l’utilizzo dell’Hardware.
Trattamento illecito dei dati personali particolari effettuato mediante l’Hardware
Il Garante ha rilevato che la Società ha trattato i dati biometrici degli interessati in due fasi distinte: una, inziale di registrazione (cd. enrolment), dove ha acquisito le caratteristiche del volto dei dipendenti, e l’altra nella fase di riconoscimento biometrico che si effettuava quotidianamente all’atto della rilevazione delle presenze e delle uscite da lavoro.
Posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, il relativo trattamento è di regola vietato, essendo consentito esclusivamente al ricorrere di limitate eccezioni, in particolare ove vi sia un fondamento giuridico che legittimi il trattamento stesso. Con riguardo ai trattamenti effettuati in ambito lavorativo, il GDPR non consente il trattamento dei dati biometrici dei dipendenti per finalità di rilevazione della presenza, (come più volte ribadito dal Garante con numerosi provvedimenti, gli ultimi dei quali adottati in data 22/02/2024).
Anche per quel che concerne la conservazione dei dati trattati, il Garante ha rilevato che i dati biometrici dei dipendenti venivano cancellati dalla Società solo a seguito della cessazione del rapporto lavorativo. Ciò avveniva in aperto contrasto con quanto stabilito dal Garante (provvedimento del 12/11/2014) che prevede che i dati biometrici possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario; pertanto, il trattamento è stato anche giudicato non conforme al principio di limitazione della conservazione.
Da ultimo, il consenso, quale base giuridica per il trattamento dei dati biometrici, raccolto dalla Società, non è la base giuridica idonea, specie nell’ambito del rapporto di lavoro stante la naturale asimmetria tra le parti (datore di lavoro e dipendente).
Trattamento illecito dei dati personali posto in essere tramite il Software
Dall’esame della documentazione acquisita è risultato che i dipendenti, attraverso un codice a barre assegnato individualmente, erano tenuti a registrare nel Software le varie fasi dell’attività lavorativa. Il Software consentiva, peraltro, anche di raccogliere e trattare dati personali riferiti ai clienti dell’officina e le informazioni relative alla tipologia di interventi effettuati.
La Società, pur avendo predisposto il registro dei trattamenti, ha fornito riscontri molto generici ed evasivi senza consentire al Garante di avere piena contezza:
- del trattamento effettuato;
- di conoscere la natura e la tipologia dei dati trattati;
- delle modalità e i tempi di conservazione dei dati;
- di valutare l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire.
Tra l’altro, tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che è risultata incompleta, specie per quanto concerne l’individuazione di una idonea base giuridica per la quale il trattamento è stato effettuato.
Pertanto, è emerso che il trattamento è stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza.