PRIVACY: NON CONSENTITA RILEVAZIONE DATI BIOMETRICI PER CONTROLLO PRESENZE

Il Garante per la Protezione dei Dati Personali, con il provvedimento n. 338 del 6 giugno 2024, ha ribadito che il trattamento di tali dati non è consentito e ha sanzionato la società che lo attuava per 120mila euro.

Con il recente provvedimento del 6 giugno 2024, il Garante per la Protezione dei Dati Personali è intervenuto in merito al reclamo presentato dal dipendente di una società che ha lamentato una violazione della disciplina in materia di protezione dei dati personali consistente in un illecito trattamento di dati personali dei dipendenti (operatori del reparto officina) realizzato per mezzo di un software denominato “Infinity DMS” e di un hardware denominato “X.-Face 380”.

I FATTI

I dipendenti di una società lamentavano l’installazione, presso le unità produttive di Modica e di Ragusa, del software gestionale “Infinity DMS” utilizzato per monitorare il lavoro degli operai. Ciascun dipendente infatti era tenuto, all’inizio della giornata lavorativa, a registrare le proprie prestazioni e le manutenzioni da svolgere, i tempi e le modalità̀ di intervento sui veicoli in riparazione, i tempi di inattività con le specifiche causali (“pause”, per indicare le soste lavorative, “attesa dei ricambi”, “attesa lavoro” per indicare le attese dovute alle commesse di lavoro, “prelievo ricambi esterni” per indicare i tempi di inattività dovuti all’attesa di ricambi non presenti in magazzino, e altri). Inoltre, in entrambe le unità produttive, era presente anche l’hardware X-Face 380, installato per regolare l’accesso sul luogo di lavoro attraverso un sistema di riconoscimento facciale.

Uno dei dipendenti, in data 05/10/2021, ha quindi presentato all’Autorità garante un reclamo ai sensi dell’art. 77 del Regolamento, lamentando la violazione della disciplina in materia di protezione dei dati personali, da parte della società.

L’Autorità ha dunque delegato il Nucleo tutela privacy e frodi tecnologiche della Guardia di finanza ad effettuare gli accertamenti ispettivi, che si sono poi svolti in data 1 e 2 marzo 2022 presso la sede legale della Società, sita a Modica (RG). 

L’ESITO DEGLI ACCERTAMENTI ISPETTIVI

In particolare, dagli esiti degli accertamenti ispettivi, è emerso che:

• la Società, che svolge attività di commercio di autovetture, conta circa 40 dipendenti, impiegati presso le due unità operative di Modica e di Ragusa. Il trattamento svolto per mezzo degli strumenti Infinity DMS e X-Face 380 coinvolge, dunque, tutti i dipendenti impiegati presso le due unità produttive;
• sia il software Infinity DMS che l’hardware X-Face 380 sono stati messi in uso dalla Società “come strumenti di lavoro al fine di migliorare la qualità e l’efficienza dell’attività svolta”;
• con specifico riferimento all’hardware X-Face 380, si tratta di un sistema di riconoscimento facciale, la cui finalità “è riconducibile esclusivamente all’elaborazione delle presenze per la redazione delle buste paga di tutti i dipendenti, trasmettendo un report mensile al CDL” (p. 3 del verbale del 01/03/2022);
• il trattamento tramite l’hardware è iniziato in data 11/12/2018 e tutti i dipendenti sono stati informati prima della sua installazione mediante apposita informativa, predisposta ai sensi dell’art. 13 del Regolamento, e contestuale acquisizione del consenso;
• per quanto concerne le caratteristiche tecniche dell’hardware, esso consente “il riconoscimento facciale dei dipendenti quando entrano e escono dall’azienda (…) e ha le seguenti funzionalità: elenco delle persone presenti e stampa dei report delle ore di presenza per ciascun utente” (p. 3 del verbale del 02/03/2022);

LA RISPOSTA DELLA SOCIETÀ

La Società a fronte di specifiche richieste di informazioni, ha fornito ulteriori elementi a integrazione di quanto dichiarato nel corso dell’accertamento ispettivo. In particolare, ha rappresentato che:

• “Le telecamere per il confronto biometrico sono dislocate nelle sedi di Modica e di Ragusa e possono funzionare esclusivamente con la partecipazione attiva e consapevole degli interessati”;
• “il software non registra movimenti e, in ogni caso, le procedure di cancellazione vengono eseguite manualmente come indicato nella dichiarazione di conformità”. Tale documento precisa che “i modelli creati per la registrazione devono essere conservati solo sino alla realizzazione delle finalità del trattamento e non devono essere memorizzati o archiviati”;
• con riguardo ai dati raccolti dal gestionale Infinity DMS, questi “sono conservati fino a 10 anni dalla data di cessazione del rapporto contrattuale. Si specifica che i dati raccolti non vengono utilizzati per finalità ulteriori e diverse rispetto a quella della rendicontazione delle ore lavorate. Si chiarisce, altresì, che i report consentiti da Infinity DMS possono essere personalizzati per operaio, squadra, qualifica e categoria statistica”.

LA NOTIFICA DEL GARANTE 

A fronte degli elementi raccolti nel corso dell’attività istruttoria, l’Ufficio ha proceduto a notificare alla Società, in data 31/01/2023, l’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5, del Codice.

In particolare, con riferimento al trattamento dei dati cd. particolari effettuato mediante l’hardware X-Face 380, è stata notificata la violazione degli artt. 5, par. 1, lett. a), b) ed f), 6, par. 1, lett. a), 9, par. 2, lett. b) e 13 del Regolamento.

Mentre, con riferimento al trattamento dei dati personali realizzato mediante il software Infinity DMS è stata contestata la violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

L’ESITO DELL’ISTRUTTORIA

All’esito dell’esame delle dichiarazioni rese e della documentazione acquisita risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite ai propri dipendenti, non conformi alla disciplina in materia di protezione dei dati personali.

Nel merito è stato accertato che la Società, a partire dal mese di dicembre 2018, ha utilizzato un sistema biometrico, basato sul riconoscimento facciale. 

Nel corso dell’istruttoria, non è stato invece chiarito il momento iniziale in cui sono cominciate le attività di registrazione dei dati dei dipendenti mediante acquisizione delle loro foto.

Il trattamento ha riguardato 40 interessati, tutti dipendenti della Società impiegati presso le due unità produttive di Modica e di Ragusa, i quali hanno ricevuto l’informativa ai sensi dell’art. 13 del Regolamento e rilasciato il consenso al trattamento dei dati.

In base a quanto dichiarato dalla Società, l’utilizzo del sistema biometrico è finalizzato alla rilevazione delle presenze in servizio dei dipendenti ed è stato determinato dall’esigenza di migliorare la qualità e l’efficienza del servizio.

Ciò posto, si osserva come, nel provvedimento n. 513 del 12/11/2014 (reperibile sul sito dell’Autorità www.gpdp.it, doc web n. 3556992), il Garante abbia chiarito che il trattamento dei dati biometrici si realizza sia nella fase di registrazione (cd. enrolment), consistente nell’acquisizione delle caratteristiche biometriche dell’interessato (nel caso di specie, le caratteristiche del volto), sia nella fase di riconoscimento biometrico da effettuarsi all’atto della rilevazione delle presenze (v. punti 6.1, 6.2 e 6.3 dell’allegato A al citato provvedimento).

In base alla disciplina in materia di protezione dei dati personali, posto che i dati biometrici rientrano nel novero delle cd. categorie particolari di dati, si rileva che il relativo trattamento è di regola vietato ai sensi dell’art. 9, par. 1, del Regolamento, mentre è consentito esclusivamente “solo quando è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Ciò significa che, affinché un trattamento avente a oggetto dati biometrici possa essere lecitamente realizzato, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Ad oggi, l’ordinamento vigente non consente il trattamento dei dati biometrici dei dipendenti, per finalità di rilevazione della presenza in servizio. Ciò è stato ribadito dal Garante con numerosi provvedimenti, gli ultimi dei quali adottati in data 22/02/2024 con i quali l’Autorità ha dichiarato l’illiceità dei trattamenti effettuati (provvedimenti n. 105, 106, 107 e 109, doc. web n. 9995785, 9995701, 9995680, 9995741).

Va, inoltre, tenuto conto che il datore di lavoro, in qualità di titolare del trattamento, è tenuto in ogni caso a osservare i principi generali in materia di trattamento dei dati personali, tra cui i principi di liceità, correttezza e trasparenza, il principio di minimizzazione e il principio di limitazione delle finalità (art. 5, par. 1, lett. a), b), c) del Regolamento).

Nel caso di specie, la dichiarazione di conformità, acquisita nel corso del procedimento e rilasciata dal fornitore del dispositivo di riconoscimento facciale, non può far venir meno la responsabilità della Società che, in qualità di titolare del trattamento, avrebbe dovuto verificare la liceità del trattamento da effettuare e la conformità ai principi applicabili, alla luce del principio di accountability in base al quale “il titolare del trattamento è competente per il rispetto [dei principi di cui al] paragrafo 1 e in grado di comprovarlo” (art. 5, par. 2, del Regolamento).

Dunque l’utilizzo del dato biometrico per la rilevazione delle presenze in servizio, senza tra l’altro che fosse stato previsto un sistema alternativo per la verifica dell’orario di lavoro, risulta contrario ai principi di minimizzazione e di proporzionalità di cui all’art. 5, par. 1, lett. c) del Regolamento. La norma, infatti, richiede che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

La Società nel corso del procedimento non ha prodotto alcuna documentazione che potesse dimostrare la necessità e la proporzionalità del trattamento limitandosi a richiamare in astratto i principi e le disposizioni del Regolamento.

Anche per quel che concerne la conservazione del dato raccolto dall’esame della documentazione prodotta (in particolare, la Dichiarazione di conformità resa dalla società XX, all. 3 alla nota del 30/06/2022) e delle dichiarazioni rese risulta che il dato biometrico riferito al dipendente viene cancellato dalla Società, solo a seguito della cessazione del rapporto lavorativo.

Ciò si pone in contrasto con quanto stabilito dal Garante nel citato provvedimento del 12/11/2014 che prevede che “i campioni biometrici impiegati nella realizzazione del modello biometrico possono essere trattati solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non devono essere memorizzati se non per il tempo strettamente necessario alla generazione del modello stesso”. 

Tra l’altro, contrariamente a quanto ritenuto dalla Società, nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso (v. provvedimenti n. 16 del 14/01/2021 doc. web n. 9542071, n. 35 del 13/02/2020, doc. web n. 9285411, n. 500 del 13/12/2018, doc web n. 9068983).

Risulta, pertanto, accertato che il trattamento di dati biometrici dei dipendenti è stato effettuato dalla Società in assenza di un’idonea base giuridica, in violazione dell’art. 9, par. 2, lett. b), del Regolamento.

Dall’esame della documentazione acquisita, inoltre, è emerso che l’informativa predisposta dalla Società è carente e inidonea a rappresentare, in maniera completa, le caratteristiche principali del trattamento.

Rispetto al trattamento di dati personali dei dipendenti per mezzo del software  gestionale Infinity DMS sin da gennaio 2018 a fronte di reiterate richieste dell’Autorità di conoscere nel dettaglio le caratteristiche essenziali del gestionale utilizzato (si vedano le richieste formulate in data 31/05/2022 e 30/09/2022), la Società ha fornito riscontri molto generici ed evasivi senza consentire all’Autorità di avere piena contezza del trattamento effettuato.

Tra l’altro, tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa incompleta e inidonea a rappresentare compiutamente il trattamento effettuato.

Anche questo trattamento, dunque, è stato posto in essere dalla Società in violazione dei principi di liceità, correttezza e trasparenza di cui agli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

L’ ILLICEITÀ DEL TRATTAMENTO

Secondo l’Autorità il trattamento dei dati personali effettuato dalla Società e, segnatamente, il trattamento di dati personali e biometrici (riconoscimento facciale) riferiti ai propri dipendenti per finalità di rilevazione delle presenze, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c), e), 9, par. 2, lett. b) e 13, del Regolamento.

Il trattamento dei dati personali dei dipendenti è altresì avvenuto in violazione degli artt. 5, par. 1, lett. a), 6 e 13 del Regolamento.

L’Autorità ha dunque:

• disposto l’applicazione di una sanzione amministrativa del pagamento di una somma pari ad euro 120.000,00 (centoventimila);
• imposto il divieto del trattamento dei dati biometrici dei dipendenti, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento;
• ingiunto alla Società di conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali.

LEGGI QUI L’INTERO PROVVEDIMENTO