Riconoscimento facciale: garante sanziona una concessionaria

Pubblicato il 28 giugno 2024

Con la newsletter del 26 giugno 2024, il Garante per la Protezione dei dati personali (GPDP) rende noto di aver sanzionato una concessionaria per aver violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro.

Il caso

L’Autorità è intervenuta a seguito del reclamo di un dipendente che lamentava il trattamento illecito di dati personali attraverso un sistema biometrico (hardware X-FACE 380), installato presso le due unità produttive della società e l’utilizzo del software gestionale “Infinity DMS” con cui ciascun dipendente era tenuto a registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi, le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.

Attività istruttoria

Dall’attività ispettiva svolta dal Garante in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza sono state acquisite tutte le informazioni riguardanti l’utilizzo degli strumenti oggetto di segnalazione.

A seguito dell’accertamento ispettivo sono emerse considerevoli violazioni del Regolamento europeo da parte della concessionaria ispezionata. In particolare la società, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate ed in assenza di un’apposita informativa.

Memorie difensive

A fronte degli elementi raccolti nel corso dell’istruttoria, l’Ufficio ha notificato alla società, il provvedimento di avvio del procedimento sanzionatorio.

La concessionaria è intervenuta in sua difesa, dichiarando:

Il provvedimento

Con il provvedimento del 6 giugno 2024, il Garante della Privacy ha accertato l’illiceità del trattamento dati per violazione degli articoli 5 e 13 relativamente al trattamento dei dati biometrici, nonché degli articoli 5,6 e 13 del Regolamento. L’Autorità ha altresì ribadito che il consenso manifestato dai dipendenti non può essere considerato un idoneo presupposto di liceità per l’asimmetria tra le rispettive parti del rapporto di lavoro.

L’Ufficio commina alla società una sanzione di importo pari a 120 mila euro, da pagare entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi.

Resta ferma la possibilità di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro il termine previsto dall’art. 10, comma 3, decreto legislativo dell’1° settembre del 2011, n. 150.

In ultimo, il Garante privacy ha ordinato alla concessionaria di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni e ai principi generali della normativa privacy entro 90 giorni dalla notifica del provvedimento.

 

Allegati
Condividi l'articolo
Potrebbe interessarti anche

Acconto IVA 2024: guida completa alla scadenza del 27 dicembre

24/12/2024

Possessori strutture ricettive all'aperto: aggiornamento catastale 2025

24/12/2024

Artigiani: come applicare la riduzione dei premi INAL per il 2024

24/12/2024

Prodotti difettosi: anche il fornitore può esserne responsabile

24/12/2024

Sicurezza sul lavoro: dall'INAIL il rating per misurare le prestazioni aziendali

24/12/2024

Turismo: al via il bando da 8 mln per formazione e innovazione

24/12/2024

Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".

Leggi informativa sulla privacy