Con i provvedimenti nn. 105, 106, 107, 108, 109 del 22 febbraio 2024, il Garante per la Protezione dei Dati Personali (“Garante”) ha sanzionato 5 diverse società (sino a €70.000,00) per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori, e in particolare per aver utilizzato sistemi di riconoscimento facciale per verificare la presenza dei lavoratori sul luogo di lavoro.
Le sanzioni traggono origine da un’indagine del Garante originata da reclami di alcuni dipendenti. Le attività ispettive, svolte in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, hanno fatto emergere particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, comportando un principio comune a tutte le indagini: il riconoscimento facciale per controllare la presenza sul luogo di lavoro viola la privacy dei dipendenti.
Le violazioni così riscontrate hanno riguardato:
1) l’assenza di informativa ex art. 13 GDPR;
2) l’assenza di un accordo ex art. 28 GDPR tra le parti;
3) l’aver inserito il trattamento nel Registro delle attività di trattamento quale “obbligo generalizzato” ex art. 30 GDPR e di conseguenza per non aver scelto delle misure di sicurezza adeguate ex art. 32 GDPR;
4) il non aver effettuato una DPIA ex art. 35 GDPR.
Il Garante ha pertanto ordinato alle aziende di:
– sospendere l’uso dei sistemi biometrici per controllare la presenza dei dipendenti sul luogo di lavoro e
– utilizzare sistemi meno invasivi per la privacy dei dipendenti, come ad esempio il badge.