Sanzione ad una concessionaria per utilizzo illecito del riconoscimento facciale

L'intervento dell'Autorità è stato scatenato da una denuncia di un dipendente che ha segnalato un trattamento non autorizzato dei dati personali tramite un sistema biometrico installato presso le due sedi produttive dell'azienda. La denuncia ha anche evidenziato l'utilizzo di un software gestionale che richiedeva ai dipendenti di registrare le attività di riparazione sui veicoli assegnati, i tempi di lavoro e le modalità di esecuzione, insieme ai periodi di inattività con le relative motivazioni.

Durante l'ispezione condotta dal Garante in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, sono emerse numerose violazioni del Regolamento europeo sulla privacy da parte dell'azienda.

Per quanto riguarda l'uso dei dati biometrici, l’Autorità ha chiarito che non è consentito utilizzarli per il controllo delle presenze poiché attualmente non vi è alcuna legge che lo permetta. L'Autorità ha sottolineato che nemmeno il consenso espresso dai dipendenti può giustificare tale pratica, data la disparità di potere nel rapporto lavorativo.

Inoltre, è emerso che la concessionaria, per oltre sei anni, ha raccolto dati personali sulle attività dei dipendenti tramite un software gestionale per creare report mensili da inviare alla casa madre, contenenti informazioni aggregate sui tempi di lavoro delle officine. Tutto ciò è avvenuto senza una base giuridica adeguata e senza un'adeguata informativa, che dovrebbe essere garantita nel contesto del rapporto di lavoro per rispettare i principi di correttezza e trasparenza.

Oltre alla sanzione, l'Autorità ha ordinato all'azienda di adeguare il trattamento dei dati effettuato tramite il software gestionale alle normative sulla privacy. (NL Garante Privacy del 26 giugno 2024, n. 525)