GPDP: vietato il riconoscimento facciale per il controllo presenze
Recentemente sono state penalizzate cinque imprese coinvolte in un trattamento illecito di dati biometrici. Parere favorevole del Garante sulla bozza di decreto del ministero della Giustizia che disciplina l’attivazione dell’archivio digitale delle intercettazioni.
L’utilizzo del riconoscimento del volto per monitorare la presenza in ufficio viola la privacy dei lavoratori. Attualmente non esiste alcuna disposizione che autorizzi l’impiego di dati biometrici, come prescritto dal Regolamento, per condurre tale attività. Pertanto, il Garante della privacy ha multato cinque società – coinvolte in varie attività presso lo stesso sito di smaltimento dei rifiuti – con sanzioni di rispettivamente 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in maniera illegale i dati biometrici di un gran numero di lavoratori.
L’Autorità, intervenuta a seguito delle segnalazioni di diversi dipendenti, ha altresì evidenziato i notevoli rischi per i diritti dei lavoratori legati all’utilizzo dei sistemi di identificazione facciale, alla luce delle normative e delle salvaguardie previste sia a livello nazionale che europeo.
Dall’attività di ispezione condotta dal Garante, in collaborazione con il Nucleo speciale per la privacy e le frodi tecnologiche della Guardia di Finanza, sono emerse anche altre violazioni commesse dalle società. In particolare, l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, senza adottare inoltre adeguate misure tecniche e di sicurezza. In aggiunta, lo stesso “sistema”, ritenuto illegittimo dall’Autorità, era impiegato presso altre nove sedi dove operava una delle imprese multate. Infine, le aziende non avevano fornito ai lavoratori un’informativa chiara e dettagliata né avevano eseguito la valutazione dell’impatto prevista dalla normativa sulla privacy.
Le imprese, secondo il parere del Garante, avrebbero dovuto optare per sistemi di controllo della presenza meno invasivi per i propri dipendenti e collaboratori sul luogo di lavoro (ad esempio, l’utilizzo del badge). Oltre al pagamento delle sanzioni, il Garante ha ordinato la cancellazione dei dati raccolti in modo illecito.
