Riconoscimento facciale: garante sanziona una concessionaria

---

Condividi l'articolo:

---

Con la newsletter del 26 giugno 2024, il Garante per la Protezione dei dati personali (GPDP) rende noto di aver sanzionato una concessionaria per aver violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.

Il caso

L’Autorità è intervenuta a seguito del reclamo di un dipendente che lamentava il trattamento illecito di dati personali attraverso un sistema biometrico (hardware X-FACE 380), installato presso le due unità produttive della società e l’utilizzo del software gestionale “Infinity DMS” con cui ciascun dipendente era tenuto a registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi, le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.

Attività istruttoria

Dall’attività ispettiva svolta dal Garante in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza sono state acquisite tutte le informazioni riguardanti l’utilizzo degli strumenti oggetto di segnalazione.

A seguito dell’accertamento ispettivo sono emerse considerevoli violazioni del Regolamento europeo da parte della concessionaria ispezionata. In particolare la società, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate ed in assenza di un’apposita informativa.

Memorie difensive

A fronte degli elementi raccolti nel corso dell’istruttoria, l’Ufficio ha notificato alla società, il provvedimento di avvio del procedimento sanzionatorio.

La concessionaria è intervenuta in sua difesa, dichiarando:

• di aver adottato gli strumenti per rispondere alle esigenze imposte dalla pandemia;
• di aver agito nel rispetto delle normative vigenti sulla protezione dei dati;
• di aver predisposto un’idonea informativa privacy che rappresentava agli interessati le caratteristiche del trattamento e che i medesimi avevano prestato il proprio consenso esplicito al trattamento dei dati personali;
• che il trattamento dei dati cd. particolari effettuato mediante l’hardware X-Face 380 è avvenuto per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro;
• che l’utilizzo del software “Infinity DMS e dell’hardware X-FACE 380 è avvenuto nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione e che i dati sono stati trattati in maniera da garantire un’adeguata sicurezza degli stessi.

Il provvedimento

Con il provvedimento del 6 giugno 2024, il Garante della Privacy ha accertato l’illiceità del trattamento dati per violazione degli articoli 5 e 13 relativamente al trattamento dei dati biometrici, nonché degli articoli 5,6 e 13 del Regolamento. L’Autorità ha altresì ribadito che il consenso manifestato dai dipendenti non può essere considerato un idoneo presupposto di liceità per l’asimmetria tra le rispettive parti del rapporto di lavoro.

L’Ufficio commina alla società una sanzione di importo pari a 120 mila euro, da pagare entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi.

Resta ferma la possibilità di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro il termine previsto dall’art. 10, comma 3, decreto legislativo dell’1° settembre del 2011, n. 150.

In ultimo, il Garante privacy ha ordinato alla concessionaria di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni e ai principi generali della normativa privacy entro 90 giorni dalla notifica del provvedimento.