3 Agosto 2023
“
ENNESIMA SANZIONE PER VIDEOSORVEGLIANZA CON SISTEMI DI GEOLOCALIZZAZIONE E RILEVAZIONE BIOMETRICA
GARANTE PRIVACY – PROVVEDIMENTO N. 231 DEL 1° GIUGNO 2023
Il Garante, con provvedimento n. 231 del 1° giugno 2023, ha comminato l'ennesima sanzione per il mancato rispetto delle procedure di garanzia previste dallo Statuto dei lavoratori e dal Codice privacy, requisiti essenziali per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.
Non sono bastate le motivazioni presentate dalla società milanese per evitare una sanzione di 20.000,00 euro, dovuta al trattamento illecito di dati personali riconducibile all'installazione di un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, con annesso impianto di videosorveglianza e software per la geolocalizzazione di alcuni lavoratori.
In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il Legale rappresentante della società e la sua famiglia e, in aggiunta, l’applicativo permetteva all’utente di ammonire verbalmente gli interessati attraverso le casse dell’impianto.
Dall’ispezione è emerso inoltre che l’azienda si serviva di un’app che, durante l’utilizzo, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.
Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di geolocalizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza dei cartelli contenenti la c.d. “informativa breve” nei pressi del raggio di azione della telecamera, oltre alla mancata informativa completa fornita ai lavoratori.
Dunque, tali condotte sono state rilevate in contrasto con la disciplina di settore in materia di controlli a distanza (art. 5 del Regolamento in relazione agli artt. 114 del Codice e 4, L. 300/1970), poiché i trattamenti dei dati personali effettuati nell’ambito del rapporto di lavoro, se necessari per finalità di gestione del rapporto stesso, devono svolgersi nel rispetto dei principi generali di:
- liceità, in base al quale il trattamento è lecito se conforme alla disciplina di settore applicabile;
- minimizzazione dei dati, secondo cui il titolare del trattamento deve attenzionare dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”;
- trasparenza, attraverso il quali si esplica l’obbligo di fornire un’informazione intellegibile e facilmente accessibile.
Inoltre, allo scopo di rinforzare ulteriormente le misure di sicurezza nei locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.
Al riguardo, nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati particolarmente sensibili, è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto concerne i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando essi siano necessari per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato. Quest’ultima deroga, che giustifica il ricorso a pratiche altamente invasive come quella del trattamento delle impronte digitali, necessita però di un aggancio giuridico in una disposizione normativa autorizzata dal diritto dell’Unione, degli Stati membri o da un contratto collettivo, che controbilanci il diritto alla tutela della privacy. Nel caso di specie, il trattamento dei dati biometrici era finalizzato all'attivazione e alla disattivazione di un sistema di allarme installato presso la sede legale della Società, condizione, questa, non sorretta da alcun fondamento normativo, atteso che, la mera esigenza di tutelare il patrimonio aziendale da furti futuri, non può dichiararsi in linea con i principi di proporzionalità, limitazione delle finalità, minimizzazione e responsabilizzazione.
Il Presidente
Fabio Triunfo
(*) Rubrica riservata agli iscritti nell’Albo dei Consulenti del Lavoro della Provincia di Napoli. E’ fatto, pertanto, divieto di riproduzione anche parziale. Diritti legalmente riservati agli Autori
FT/FC
”
Modificato: 25 Settembre 2023