Con alcuni provvedimenti del 22 febbraio 2024, il Garante Privacy ha sanzionato 5 società per aver illegittimamente raccolto e trattato i dati biometrici dei loro dipendenti.
Il Garante è intervenuto a seguito dei reclami formulati da diversi dipendenti di queste società, tutte operanti presso lo stesso sito di smaltimento dei rifiuti.
Le aziende coinvolte nel caso avevano imposto l’utilizzo di un rilevatore biometrico per l’accesso al luogo di lavoro per oltre un anno, senza fornire un’informativa chiara e dettagliata ai lavoratori rispetto alla raccolta e all’uso dei loro dati personali. Inoltre, non avevano effettuato le valutazioni d’impatto previste dalla normativa sulla privacy, né implementato le necessarie misure tecniche di sicurezza per proteggere i dati raccolti.
Accogliendo i reclami dei lavoratori, il Garante ha sottolineato che non esiste alcuna norma che consenta l’uso di sistemi di controllo biometrici in ambito lavorativo, affermando quindi che il riconoscimento facciale per controllare le presenze sul posto di lavoro dei lavoratori viola la normativa a tutela della privacy dei dipendenti.
In particolare, è stata accertata la violazione dell’art. 5, par. 1, lett. a) e 9 del Regolamento, in relazione ai trattamenti di dati dei citati dipendenti.
È emerso che le società coinvolte hanno trattato i dati biometrici, sia in fase di registrazione con l’acquisizione delle caratteristiche biometriche degli interessanti, sia in fase di riconoscimento biometrico, durante la rilevazione delle presenze.
Ad avviso del Garante, le società avrebbero dovuto utilizzare sistemi meno invasivi, come l’uso di badge, per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro.
