In un recente provvedimento, il Garante della Privacy ha emesso una sanzione significativa nei confronti di una concessionaria di automobili che aveva installato sistemi software e hardware dotati di riconoscimento biometrico per monitorare i dipendenti in entrata e uscita e durante le fasi lavorative. Sempre più autofficine si ritrovano ad efficientare il lavoro associato a KPI (Key Performance Indicator) e in molti casi legata ad audit di aziende committenti, e quindi monitorare le performance e la qualità degli addetti alla riparazione che, in fin dei conti, sono quelli che poi fanno fatturare più di altri. Stavolta però il Garante ha posto l’accento sulla tutela della privacy dei lavoratori e sul rispetto delle normative vigenti in materia di protezione dei dati personali.

L’ILLEGITTIMITÀ DEL RICONOSCIMENTO FACCIALE IN AZIENDA

L’attività istruttoria condotta dal Garante ha rivelato che, a partire da dicembre 2018, la concessionaria avrebbe utilizzato un sistema di riconoscimento facciale per monitorare 40 dipendenti impiegati presso le unità produttive di Modica e Ragusa. Il trattamento dei dati biometrici, rientranti nelle categorie particolari di dati, è stato giudicato illecito in quanto non supportato da una necessità comprovata ai fini della gestione del rapporto di lavoro o della protezione sociale.

L’uso dell’hardware X-Face 380 per la rilevazione delle presenze mediante riconoscimento facciale è stato uno degli elementi chiave della decisione del Garante. Questo strumento, progettato per registrare l’accesso dei dipendenti al luogo di lavoro, è stato considerato invasivo e sproporzionato rispetto alle finalità dichiarate dall’azienda, ovvero l’elaborazione delle presenze per la redazione delle buste paga. Il Garante ha ribadito che il trattamento dei dati biometrici (art.9 del GDPR) deve essere rigorosamente limitato e giustificato, condizioni che non sarebbero soddisfatte in questo caso.

ANCHE IL SOFTWARE GESTIONALE NEL MIRINO

Parallelamente, anche il software gestionale “Infinity DMS” utilizzato dalla concessionaria è stato sottoposto ad attente valutazioni. In pratica, secondo le indagini, il sistema avrebbe obbligato i dipendenti a registrare dettagliatamente le loro attività lavorative, inclusi i tempi di inattività e le pause lavorative dovute, ad esempio, all’attesa dei ricambi per completare la riparazione. Questa pratica è stata giudicata illecita in quanto rappresenta un monitoraggio eccessivo e invasivo delle prestazioni lavorative. Il Garante ha sottolineato la mancanza di trasparenza dell’azienda riguardo la natura dei dati raccolti, le modalità di conservazione e i tempi di conservazione degli stessi.

Nel provvedimento, il Garante scrive che “a fronte di reiterate richieste dell’Autorità di conoscere nel dettaglio le caratteristiche essenziali del gestionale utilizzato (si vedano le richieste formulate in data 31/05/2022 e 30/09/2022), la Società ha fornito riscontri molto generici ed evasivi senza consentire all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire”.

LE CONCLUSIONI DEL GARANTE E LA MULTA

Un aspetto critico del provvedimento riguarda il consenso espresso dai dipendenti ritenuto inadeguato. Il Garante ha evidenziato che, nel contesto lavorativo, il consenso non può essere considerato valido a causa dell’asimmetria di potere tra datore di lavoro e dipendenti. Questa asimmetria rende il consenso viziato e non idoneo a legittimare il trattamento dei dati personali.

In conclusione, il Garante della Privacy con il provvedimento n. 338/2024 ha ordinato alla concessionaria di cessare immediatamente l’uso dei sistemi biometrici e di pagare una sanzione amministrativa di 120.000 euro. La decisione del Garante rappresenta un monito per tutte le aziende sull’importanza di bilanciare l’innovazione tecnologica con il rispetto dei diritti fondamentali dei lavoratori, garantendo che qualsiasi trattamento di dati personali sia sempre giustificato, trasparente e proporzionato alle finalità legittime perseguite.