Il Garante per la protezione dei dati personali ha sanzionato una società specializzata in commercio di autovetture per aver trattato illecitamente i dati biometrici dei propri dipendenti e per aver realizzato un controllo a distanza dei lavoratori, in assenza di accordo collettivo o di autorizzazione da parte dell'ispettorato del lavoro.
Premessa
La tutela dei dati personali dei lavoratori riveste un'importanza cruciale nel contesto socio-economico, caratterizzato da un crescente impiego di tecnologie avanzate e digitali sui luoghi di lavoro. La protezione della riservatezza e dei dati particolari dei dipendenti non risponde solo adesigenze legali e regolamentari, ma rappresenta anche un elemento fondamentale per garantire il rispetto della dignità e dei diritti fondamentali degli individui. Per tali ragioni, il tema ha attirato, in più occasioni, l'attenzione del Garante per la protezione dei dati personali ("Garante" o "Autorità") che, negli ultimi anni, ha adottato molteplici provvedimenti sanzionatori diretti a società e imprese che realizzavano comportamenti in contrasto con la disciplina vigente. L'utilizzo di strumenti che consentono un controllo dell'operato dei lavoratori è vietato dall'art. 4 della Legge n. 300/1970 ("Statuto dei Lavoratori") che, nella sua formulazione originaria, sanciva un espresso divieto all'uso di "impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori". Tale formulazione è stata modificata con il D. Lgs. 151/2015, c.d. "Jobs Act", che ha imposto ai datori di lavoro di siglare un accordo collettivo ovvero di ottenere un'autorizzazione da parte dell'ispettorato del lavoro, prima dell'installazione di impianti o strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dei dipendenti.
Il caso di specie
La sanzione adottata dal Garante con provvedimento del 6 giugno 2024 ha colpito una società specializzata in commercio di autovetture, che impiega un totale di 40 dipendenti, con stabilimenti nelle città di Modica e Ragusa.
In seguito al reclamo presentato da uno dei lavoratori il 5 ottobre 2021, il Garante, avviate le attività istruttorie, ha accertato che la società, mediante l'utilizzo del software denominato "Infinity DMS" e dell'hardware denominato "X-Face 380", operava un controllo invasivo sui lavoratori, in assenza di accordo sindacale o di autorizzazione amministrativa, ed in spregio dei principi generali del Regolamento (UE) 2016/679 ("GDPR" o "Regolamento").
Il reclamante lamentava che, tramite l'utilizzo del software "Infinity DMS", ciascun dipendente era tenuto, fin dall'inizio della giornata lavorativa, a registrare le mansioni, i tempi e le modalità di intervento sui veicoli in riparazione assegnati, compresi i tempi di inattività, con l'indicazione della causale, ad esempio "pause" per indicare le soste lavorative; "prelievo ricambi esterni"; "attesa ricambi".
Diversamente, il sistema indicato con la denominazione "X-Face 380", installato in entrambe le sedi produttive, consentiva di regolare l'accesso ai luoghi di lavoro mediante un sistema di riconoscimento facciale.
Gli accertamenti ispettivi, condotti con la collaborazione del Nucleo tutela privacy e frodi tecnologiche della Guardia di Finanza, hanno determinato l'Autorità ad avviare un procedimento sanzionatorio, il quale ha sancito, nel merito, che la società, a partire da dicembre 2018, ha adottato un sistema di riconoscimento facciale basato sul trattamento di dati biometrici che, ai sensi dell'art. 9, par. 1, GDPR è di regola vietato, salvo sussista una delle deroghe di cui al paragrafo 2 dello stesso articolo. In questo caso, la società aveva ritenuto di fondare il trattamento sulla base giuridica del consenso, richiesto ai dipendenti in fase di sottoposizione dell'informativa di cui all'art. 13 del GDPR. L'Autorità, pertanto, ravvisava, in prima battuta, la violazione dell'art. 9, par. 2, lettera b)del GDPR, perché il consenso non può rappresentare idonea base giuridica. Difatti, è necessario accertare concretamente, e caso per caso, l'effettiva libertà del consenso espresso, alla luce dell'asimmetria tra le rispettive parti del rapporto di lavoro. Inoltre, il Garante ha sottolineato come il trattamento dei dati biometrici per la rilevazione delle presenze dei dipendenti sul luogo di lavoro si ponga in contrasto con i principi di minimizzazione e di proporzionalità di cui all'art. 5, par. 1, lett. c) del GDPR, che richiede che i dati siano pertinenti, adeguati e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati. Alle violazioni sin qui illustrate, si aggiunge la conservazione dei dati biometrici dei dipendenti in spregio al principio di limitazione delle finalità (art. 5, par. 1, lett. b) GDPR). La società, difatti, nel corso dell'accertamento ispettivo e nella documentazione prodotta in sede di istruttoria, ha dichiarato che i dati in esame fossero conservati sino alla cessazione del rapporto di lavoro, in evidente contrasto con il provvedimento dell'Autorità del 12.11.2014 che, seppur riferibile alla normativa previgente, è tuttora valido nelle linee generali e conforme ai principi del Regolamento. Tale provvedimento prevede che "i campioni biometrici impiegati nella realizzazione del modello biometrico possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario alla generazione del modello stesso".
Circa il software "Infinity DMS", nonostante i riscontri evasivi della società, il Garante ha accertatoche ai dipendenti fosse stato sottoposto un documento di informativa lacunoso, inidoneo a rappresentare compiutamente il trattamento effettuato e le relative finalità.
Dal canto suo, la società classificava il software in parola come strumento di lavoro volto a migliorare la qualità e l'efficienza dell'attività svolta tanto da giustificare l'installazione, fin dall'anno 2013, in elusione dei vincoli sanciti dall'art. 4 dello Statuto dei Lavoratori.
La gravità, la natura e la durata delle violazioni commesse – unitamente allo scarso comportamento collaborativo della società e al perdurare del trattamento anche dopo l'avvio del procedimento – ha indotto il Garante ad ordinare alla società di: a) pagare una sanzione amministrativa pecuniaria per euro 120.000; b) conformare il trattamento dei dati effettuato mediante il software gestionale "Infinity DMS" alle disposizioni e ai principi generali in materia di trattamento dei dati personali entro 90 giorni dalla notifica del provvedimento; c) cessare immediatamente il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale "X-Face 380".
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.