Con la newsletter del 26 giugno 2024, il Garante per la Protezione dei dati personali (GPDP) rende noto di aver sanzionato una concessionaria per aver violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.
L’Autorità è intervenuta a seguito del reclamo di un dipendente che lamentava il trattamento illecito di dati personali attraverso un sistema biometrico (hardware X-FACE 380), installato presso le due unità produttive della società e l’utilizzo del software gestionale “Infinity DMS” con cui ciascun dipendente era tenuto a registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi, le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.
Dall’attività ispettiva svolta dal Garante in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza sono state acquisite tutte le informazioni riguardanti l’utilizzo degli strumenti oggetto di segnalazione.
A seguito dell’accertamento ispettivo sono emerse considerevoli violazioni del Regolamento europeo da parte della concessionaria ispezionata. In particolare la società, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate ed in assenza di un’apposita informativa.
A fronte degli elementi raccolti nel corso dell’istruttoria, l’Ufficio ha notificato alla società, il provvedimento di avvio del procedimento sanzionatorio.
La concessionaria è intervenuta in sua difesa, dichiarando:
Con il provvedimento del 6 giugno 2024, il Garante della Privacy ha accertato l’illiceità del trattamento dati per violazione degli articoli 5 e 13 relativamente al trattamento dei dati biometrici, nonché degli articoli 5,6 e 13 del Regolamento. L’Autorità ha altresì ribadito che il consenso manifestato dai dipendenti non può essere considerato un idoneo presupposto di liceità per l’asimmetria tra le rispettive parti del rapporto di lavoro.
L’Ufficio commina alla società una sanzione di importo pari a 120 mila euro, da pagare entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi.
Resta ferma la possibilità di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro il termine previsto dall’art. 10, comma 3, decreto legislativo dell’1° settembre del 2011, n. 150.
In ultimo, il Garante privacy ha ordinato alla concessionaria di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni e ai principi generali della normativa privacy entro 90 giorni dalla notifica del provvedimento.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".