In tema di privacy e aziende, il recente caso di un’impresa a cui il Garante Privacy ha comminato una sanzione da 20.000 euro, evidenzia ancora una volta quanto sia fondamentale rivolgersi a professionisti competenti.
A seguito di una segnalazione, un’azienda è stata oggetto di ispezione da parte dell’Autorità e del Nucleo speciale tutela privacy della Guardia di finanza.
I punti contestati sono più d’uno e precisamente:
- installazione di un impianto di videosorveglianza in mancanza di accordo sindacale o autorizzazione dell’INL;
- tracciamento, tramite GPS, della posizione dei dipendenti durante l’attività lavorativa;
- trattamento improprio di dati biometrici (impronte digitali) allo scopo di attivare/disattivare l’impianto di allarme.
Impianto di videosorveglianza senza accordo sindacale o autorizzazione
Il titolare della ditta, a seguito di un furto subito nel 2019, aveva fatto installare una telecamera orientata verso l’area di fronte alla reception. Tale dispositivo, normalmente spento, avrebbe effettuato la registrazione solo se acceso e al verificarsi di eventi. Per semplicità di gestione, la telecamera, acquistata successivamente all’impianto domestico del titolare, era stata aggiunta all’account casalingo e dunque poteva essere gestita non solo dall’amministratore, ma anche dai suoi famigliari.
Oltre ad adottare la telecamera in assenza di accordo sindacale o di autorizzazione dell’Ispettorato Nazionale del Lavoro, poiché il dispositivo si sarebbe attivato solo su segnalazione del sistema di allarme, non era stata fornita alcuna informativa né ai dipendenti, né agli esterni.
Tracciamento della posizione dei dipendenti
La seconda segnalazione riguarda l’utilizzo di un sistema di rilevazione geografica del personale tecnico. É stata riscontrata, infatti, la presenza di un’App sui cellulari aziendali per l’assegnazione degli interventi tecnici. Il tracciamento della posizione geografica è stato aggiunto successivamente allo scopo di verificare la chiusura dei lavori presso i clienti.
Sebbene il titolare abbia dichiarato di non sapere del tracciamento continuo dei dipendenti durante l’uso dell’App, ma della sola rilevazione alla chiusura della commessa e abbia aggiunto che tale rilevazione era necessaria a rispondere ad eventuali contestazioni dei clienti circa la durata dell’intervento, l’Autorità ha ritenuto improprio tale trattamento, poiché assimilabile ad un controllo a distanza, espressamente vietato sia dallo Statuto dei Lavoratori che dal GDPR.
Come indicato dalla normativa, tale controllo a distanza può essere svolto “esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale” e in ogni caso, deve essere preventivamente approvato tramite accordo sindacale o autorizzazione dell’INL.
Utilizzo improprio di dati biometrici del personale
La terza e ultima contestazione riguarda la presenza di un sistema di rilevazione delle impronte digitali, usate per attivare e disattivare l’impianto antintrusione aziendale. Tale impianto è risultato composto da una centrale e tre lettori di impronte, ognuno dei quali permetteva di gestire l’allarme nell’ambiente in cui era installato. É emerso, inoltre, che tutti e tre conservavano i dati biometrici dei dipendenti censiti, indipendentemente dall’ambiente al quale erano abilitati.
In considerazione del fatto che il trattamento di dati biometrici in ambito lavorativo, normalmente vietato, è consentito solo se ricorre una delle condizioni indicate dall’art. 9, par. 2 del GDPR e cioè quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale“, l’utilizzo delle impronte digitali fatto dalla Società è risultato privo di un’idonea base giuridica.
Inoltre, adducendo come motivazione il carattere di familiarità dei rapporti lavorativi fra dipendenti e datore di lavoro, quest’ultimo non ha fornito un’adeguata informativa agli interessati come invece prescritto dall’art. 13 del Regolamento.
In conclusione, risulta evidente che, nonostante la buona fede più volte rimarcata dal Titolare dell’azienda, nel caso in esame siano state commesse parecchie leggerezze con conseguenze rilevanti sul piano della protezione dei dati. Tali conseguenze, che hanno portato al divieto del trattamento dei dati raccolti tramite videosorveglianza e monitoraggio della posizione dei lavoratori, nonché ad una sanzione di 20.000 euro, avrebbero potuto essere evitate affidandosi a installatori e consulenti adeguatamente preparati sia sul piano tecnico che su quello della privacy.
