Garante Privacy: no al riconoscimento facciale dei lavoratori

In un recente provvedimento che ha suscitato non poco clamore, il Garante per la Protezione dei Dati Personali ha sanzionato cinque società per l’utilizzo illegittimo di sistemi di riconoscimento facciale per il controllo delle presenze dei dipendenti. Questa decisione segna un punto di svolta importante nella gestione dei dati biometrici all’interno delle aziende e pone serie riflessioni sulle pratiche di monitoraggio dei lavoratori. Per approfondimenti sulla privacy consigliamo Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici

Indice

1. Il caso in esame


Le società coinvolte, operanti in un sito di smaltimento rifiuti, sono state multate per un totale di oltre 100.000 euro per aver trattato dati biometrici dei dipendenti senza un’adeguata base giuridica, in violazione del Regolamento Generale sulla Protezione dei Dati (GDPR, REG. 679/2016). Il Garante ha identificato la raccolta di dati biometrici mediante riconoscimento facciale come una pratica eccessivamente invasiva, attuata senza le necessarie garanzie normative e di sicurezza. Per approfondimenti sulla privacy consigliamo Compendio breve sulla privacy -Guida alla lettura del GDPR con esempi e casi pratici

FORMATO CARTACEO + ILIBRO

Compendio breve sulla privacy

L’obiettivo del libro è quello di illustrare la disciplina privacy in maniera informale, ma non per questo meno puntuale. Spesso, il tenore giuridico rende difficilmente comprensibile il senso, ovvero il contenuto e la ratio legis, ai non specialisti. Parafrasarne il testo, con l’ausilio di esempi e casi concreti, invece, consente di entrare immediatamente in argomento senza alcuna anticamera, pur restando imprescindibile la consultazione della disposizione ufficiale. Nello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari. In tal modo, da un lato viene facilitata la comprensione del dettato normativo, dall’altro il dato normativo assume la propria peculiare sostanza attraverso l’applicazione concreta. Questo manuale, grazie al suo taglio editoriale, intende rivolgersi non soltanto a professionisti e cultori della disciplina, ma anche a coloro che, nelle Pubbliche Amministrazioni e nelle imprese, si trovano a dover affrontare la materia e, altresì, a coloro che devono sostenere prove concorsuali. Jean Louis a Beccara Avvocato, certificato Responsabile della protezione dei dati (DPO) – Cepas Srl (Gruppo Bureau Veritas Italia Spa). Direttore dell’Ufficio Organizzazione e gestione della privacy della Provincia autonoma di Trento. Docente in corsi di formazione, relatore in convegni, nonché autore di numerose monografie e pubblicazioni in materia su riviste scientifiche e specialistiche.

Jean Louis a Beccara | Maggioli Editore 2021

2. Il GDPR e i dati biometrici


Il GDPR classifica i dati biometrici come “categorie particolari di dati personali” ex art. 9 del Regolamento, che richiedono particolari precauzioni per il loro trattamento. In assenza di una normativa specifica che autorizzi l’uso di tali dati per il controllo delle presenze, le aziende si trovano di fronte a un significativo rischio legale se scelgono di implementare tecnologie simili senza una valutazione d’impatto dettagliata e senza informare adeguatamente i dipendenti.
L’uso del riconoscimento facciale in contesti lavorativi solleva non solo questioni legali, ma anche etiche. Il rischio di violazioni della privacy è elevato, e le implicazioni per i diritti fondamentali dei lavoratori sono significative. Il monitoraggio biometrico, infatti, può facilmente trascendere il semplice controllo delle presenze, permettendo potenzialmente una sorveglianza continua e molto più invasiva.
Il provvedimento del Garante non si limita alle sole multe. Alle aziende sanzionate è stato altresì ordinato di cessare l’uso dei sistemi di riconoscimento facciale e di eliminare i dati biometrici raccolti illecitamente. Questo sottolinea la necessità di adottare approcci meno invasivi e più rispettosi della privacy, come l’uso di badge o sistemi di timbratura tradizionali.
Il provvedimento del Garante Privacy italiano rappresenta un campanello d’allarme per tutte le aziende che, in nome dell’efficienza, potrebbero considerare l’adozione di tecnologie potenzialmente invasive. La decisione sottolinea l’importanza di bilanciare innovazione e rispetto dei diritti fondamentali dei lavoratori, e mette in evidenza la necessità di una continua vigilanza e aggiornamento normativo nel campo del trattamento dei dati personali. La protezione della privacy non è solo una questione di conformità, ma un elemento fondamentale della fiducia e della responsabilità sociale di ogni impresa.

3. Lezioni per le aziende nell’implementazione di tecnologie di monitoraggio


Pur comprendendo il desiderio di maggiore efficienza attraverso l’utilizzo della tecnologia, le aziende devono tenere conto del fatto che l’introduzione di strumenti di riconoscimento biometrico per il monitoraggio della presenza dei lavoratori costituisce attività estremamente delicata e pericolosa, che può portare a significative implicazioni legali ed etiche. Di seguito si elencano brevemente una serie di misure tecniche ed organizzative (o anche solo di buon senso) da implementare quando proprio non si può fare a meno di trattare dati biometrici (anche quando, siamo sinceri, non sarebbe del tutto indispensabile, da momento che esistono sistemi di timbratura tradizionale che ottengono il medesimo risultato con un impatto decisamente inferiore sugli interessati).

4. Valutare l’impatto sulla privacy (DPIA) del riconoscimento facciale


La valutazione d’impatto sulla protezione dei dati (DPIA) è un processo fondamentale che ogni azienda dovrebbe attuare prima di implementare tecnologie che trattano dati personali, specialmente se questi sono categorizzati come sensibili. La DPIA aiuta a identificare e minimizzare i rischi per la privacy dei dati personali. Gli elementi chiave di una DPIA efficace includono:
Identificazione del rischio: determinare quali dati personali saranno raccolti, come saranno utilizzati e quali potrebbero essere i rischi per i soggetti dei dati.
Misurazione del rischio: valutare la gravità e la probabilità di ogni rischio identificato.
Mitigazione del rischio: proporre misure per eliminare o ridurre i rischi al livello più basso possibile, includendo soluzioni tecnologiche e procedurali.
La DPIA dovrebbe essere un documento in costante evoluzione, aggiornato regolarmente per riflettere qualsiasi cambiamento nella natura del trattamento dei dati o nel contesto operativo.

Potrebbero interessarti anche:

5. Informativa e consenso


Il principio di trasparenza è al cuore del GDPR. Le aziende devono assicurare che i lavoratori siano pienamente informati su come i loro dati personali vengano raccolti, trattati e protetti. Elementi essenziali dell’informativa includono:
Scopo della raccolta: spiegare chiaramente il motivo per cui i dati biometrici sono necessari e come verranno utilizzati.
Diritti degli interessati: informare i dipendenti sui loro diritti in relazione ai dati personali, inclusi il diritto di accesso, rettifica, cancellazione e opposizione al trattamento.
Misure di sicurezza: descrivere le misure adottate per proteggere i dati personali da perdite o violazioni.
Il consenso deve essere esplicitamente ottenuto in maniera libera, informata e inequivocabile. È importante che i dipendenti comprendano pienamente le implicazioni del loro consenso e che questo non sia condizione per il loro impiego, evitando così situazioni di consenso “forzato”.
Si ricorda tuttavia che il consenso è base giuridica residuale, meno tutelante rispetto ad altre che il Titolare dovrebbe scegliere nel rispetto dei diritti degli interessati.

6. Scegliere la Minima Invasività


Quando si sceglie la tecnologia da implementare, è cruciale considerare alternative che impattino il meno possibile sulla privacy dei dipendenti. Questo approccio si allinea al principio di minimizzazione dei dati del GDPR, che suggerisce di limitare al minimo il trattamento dei dati personali. Esempi di tecnologie meno invasive possono includere:
Sistemi di timbratura: utilizzare badge o codici PIN invece del riconoscimento facciale.
Tecnologie basate su localizzazione: adottare sistemi di localizzazione che monitorino la presenza in specifiche aree senza identificare continuamente l’individuo.
Audit regolari: condurre audit periodici per assicurare che solo i dati necessari siano raccolti e che vengano eliminati quando non più necessari.

7. Conclusione


Il provvedimento del Garante Privacy italiano rappresenta un campanello d’allarme per tutte le aziende che, in nome dell’efficienza, potrebbero considerare l’adozione di tecnologie potenzialmente invasive. La decisione sottolinea l’importanza di bilanciare innovazione e rispetto dei diritti fondamentali dei lavoratori, e mette in evidenza la necessità di una continua vigilanza e aggiornamento normativo nel campo del trattamento dei dati personali. La protezione della privacy non è solo una questione di conformità, ma un elemento fondamentale della fiducia e della responsabilità sociale di ogni impresa.

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento