No al riconoscimento facciale per la registrazione delle presenze e al gestionale che consente il monitoraggio dell’attività lavorativa
Il Garante per la protezione dei dati personali interviene ha rilevato l’illegittimità, per contrasto con la normativa in materia di protezione dei dati personali, di due sistemi tecnologici impiegati da un’autofficina: il primo era un hardware che effettuava il riconoscimento facciale dei dipendenti all’ingresso e all’uscita dall’officina, al fine di registrare le presenze; il secondo era un software gestionale, apparentemente molto diffuso nel settore, che rendeva possibile monitorare il tempo impiegato per le attività svolte dai meccanici, cui veniva richiesto di registrare tramite codice a barre individuale le varie fasi dell’attività lavorativa comprese le pause, con indicazione della specifica causale dell’interruzione.
Per quanto riguarda il sistema di rilevazione delle presenze, il Garante afferma che tale finalità, allo stato attuale dell’ordinamento, non può essere perseguita tramite trattamento di dati biometrici dei dipendenti quali quelli necessari al riconoscimento facciale. Infatti, i dati biometrici rientrano fra le c.d. categorie particolari di dati (ex «dati sensibili») il cui trattamento è consentito solo al ricorrere delle condizioni di cui al paragrafo 2 dell’art. 9 del GDPR il quale, nel contesto lavorativo, limita la possibilità di trattare dati biometrici solo ai casi in cui ciò sia «necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale».
Con riferimento al software gestionale, invece, il Garante ha contestato l’indisponibilità della Società a chiarire le caratteristiche essenziali del programma, come era necessario al fine di valutare la liceità del trattamento di dati personali in atto, e ha soprattutto rilevato che tale mancanza di trasparenza aveva riguardato anche il rapporto con i lavoratori ai quali era stata fornita un’informativa del tutto carente degli elementi necessari, fra cui persino la base giuridica del trattamento. Pertanto, il trattamento di dati personali attraverso il gestionale è stato ritenuto in violazione dei principi di liceità, correttezza e trasparenza.
