Illecito utilizzare software per monitorare le prestazioni dei dipendenti

Garante per la Protezione dei Dati Personali - Provvedimento n. 338 del 6 giugno 2024.

Sonia Gallozzi, consulente giuslavosrista Sede Nazionale

Il Garante della Privacy, con provvedimento n. 338 del 6 giugno 2024, ha sanzionato una società per aver trattato illecitamente i dati personali dei dipendenti, attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro, nonché tramite un software gestionale con cui ciascun dipendente era tenuto a registrare i tempi e le modalità di esecuzione dei lavori, nonché i tempi di inattività, con specifiche causali.

Nello specifico, a seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica) per un presunto illecito trattamento dei dati personali dei dipendenti, effettuato anche senza adeguata informativa, l'Autorità Garante per la Protezione dei Dati Personali, esperite le dovute verifiche, confermava l'uso dei suddetti strumenti ed appurava che l'installazione del software considerata integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale. Venivano quindi accertate violazioni in tema di trattamento dei dati personali sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679. 

Quanto al sistema biometrico di rilevamento presenze (riconoscimento facciale), il Garante ribadiva innanzitutto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati ed il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, GDPR, essendo consentito esclusivamente al ricorrere di una delle condizioni indicate al paragrafo 2: con riguardo ai trattamenti effettuati in ambito lavorativo, tale trattamento è consentito solo quando è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; inoltre, è consentito altresì solo se sia autorizzato dal diritto UE o degli Stati membri, o da un CCNL, e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b), GDPR).

Pertanto, il Garante rilevava che, nel caso di specie, l’utilizzo del dato biometrico (ovvero il riconoscimento facciale) per la rilevazione delle presenze dei dipendenti in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risultava contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento e, dunque, in violazione degli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13 GDPR.

L’Autorità accertava inoltre che la società da più di sei anni, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate. In particolare, era risultato dagli accertamenti svolti che i dipendenti fossero tenuti a registrare nel gestionale le varie fasi dell’attività lavorativa, comprese le pause, con l’indicazione della specifica causale (es. riposo, attesa ricambi, ecc.).

Il Garante accertava che le informazioni relative al trattamento effettuato, alla natura e tipologia dei dati trattati, modalità e tempi di conservazione dei dati, nonché l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire, non erano state portate neppure a conoscenza dei dipendenti, ai quali era stata fornita un’informativa incompleta e inidonea a rappresentare compiutamente il trattamento effettuato. Il Garante ricordava quindi che, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente sia espressione del dovere di correttezza (art. 5, par. 1, lett. a) GDPR).

In conclusione, anche in quest’ambito, emergeva che il trattamento era stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza, di cui agli artt. 5, par. 1, lett. a), 6 e 13 GDPR.

Per tali motivi, il Garante disponeva tutte le iniziative correttive che l’azienda avrebbe dovuto intraprendere, irrogando comunque una cospicua sanzione pecuniaria.