Il Garante Privacy, con provvedimento 338/2024 del 6 giugno 2024, ha irrogato una sanzione amministrativa da 120mila euro a carico di un datore di lavoro che utilizzava un software di registrazione dei tempi e modalità di lavoro del personale, compresi gli intervalli di inattività, nonché un hardware che controllava l’accesso ai luoghi di lavoro attraverso un sistema di riconoscimento facciale.
La sanzione ha riguardato un’azienda che si occupa di commercio e riparazione di autovetture la quale aveva installato, considerandoli “strumenti di lavoro”, un software (denominato Dms) e un hardware (X-Face 380) molto innovativi; senza accordo sindacale o autorizzazione amministrativa
L’hardware consentiva il riconoscimento facciale dei dipendenti, rispetto al quale il Garante ha confermato l’indirizzo molto restrittivo già seguito in casi analoghi.
Ricordiamo che i dati biometrici rientrano nel novero delle cosiddette categorie particolari di dati e, quindi, il relativo trattamento è di regola vietato, salvo il caso in cui risulti necessario per assolvere degli obblighi ed esercitare dei diritti specifici in materia di diritto del lavoro e della protezione sociale, ipotesi che non ricorre nell’esigenza di compilazione delle buste paga.
Il Garante, confermando anche qui il proprio consolidato indirizzo, ha sottolineato che nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, alla luce dell’asimmetria tra le rispettive posizioni delle parti.
Anche l’utilizzo del software gestionale viene sottoposto a numerosi rilievi critici. Con questo sistema il datore di lavoro aveva imposto ai propri dipendenti (una quarantina suddivisi in due unità produttive), attraverso un codice a barra assegnato individualmente, di registrare le varie fasi dell’attività lavorativa, comprese le pause (con l’indicazione della specifica causale: ad esempio, riposo, attesa ricambi, eccetera).
L’Autorità ha stigmatizzato la mancanza di risposte del datore di lavoro sulla natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che ha impedito di valutare l’effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire. Non è bastata, quindi, la spiegazione fornita dalla società sul fatto che «il sistema non fa nessun controllo sulle attività svolte, ma esegue un semplice conteggio del tempo impiegato».
Carenza accentuata dal fatto che tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa incompleta e inidonea a rappresentare compiutamente il trattamento effettuato.
Per questi motivi, l’informativa rilasciata ai dipendenti è stata considerata carente poiché priva di indicazioni relative alla base giuridica che consentiva il trattamento, con la conclusione che il trattamento è stato realizzato dalla società in violazione dei principi di liceità, correttezza e trasparenza.
(Fonte: Garante per la protezione dei dati personali)
