Garante Privacy, no al software che monitora le prestazioni dei lavoratori in maniera dettagliata

A cura dell’Ufficio Stampa
uff.stampa@confartigianatofc.it

LA NEWSLETTER DI CONFARTIGIANATO FEDERIMPRESA CESENA DEDICATA ALLA PRIVACY, uno strumento facile e veloce per rimanere sempre aggiornati in tema di privacy.

È illecito l’utilizzo, da parte di un datore di lavoro, di un software che monitora le prestazioni dei dipendenti in maniera dettagliata, registrando i tempi e le modalità di lavoro del personale nonché i tempi di inattività con le specifiche causali; è altrettanto illecito l’utilizzo di un hardware che regola l’accesso sul luogo di lavoro attraverso un sistema di riconoscimento facciale. 

Sulla base di queste considerazioni, il Garante Privacy ha comminato una sanzione amministrativa da 120mila euro a carico di un datore di lavoro che usava tali strumenti per migliorare la produttività interna (provvedimento 338/2024 del 6 giugno 2024).

Si tratta di un’azienda che si occupa di commercio e riparazione di autovetture, la quale ha deciso di installare un software (denominato Dms) e un hardware (X-Face 380) molto innovativi; un’installazione avvenuta senza accordo sindacale o autorizzazione amministrativa in quanto la società li considerava “strumenti di lavoro”.

Una scelta censurata in modo pesante dal Garante. Per quanto riguarda l’hardware che consente il riconoscimento facciale dei dipendenti, viene confermato l’indirizzo molto restrittivo già seguito in casi analoghi: è vietato perché realizza un trattamento illecito dei dati personali.

I dati biometrici rientrano nel novero delle cosiddette categorie particolari di dati e, quindi, il relativo trattamento è di regola vietato, salvo il caso in cui risulti necessario per assolvere degli obblighi ed esercitare dei diritti specifici in materia di diritto del lavoro e della protezione sociale (ipotesi che non si verifica nel caso in questione, essendo insufficiente l’esigenza di compilazione delle buste paga a integrare questo requisito). Il Garante, confermando anche qui il proprio consolidato indirizzo, sottolinea che nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, alla luce dell’asimmetria tra le rispettive posizioni delle parti.

Anche l’utilizzo del software gestionale viene sottoposto a numerosi rilievi critici. Con questo sistema il datore di lavoro aveva imposto ai propri dipendenti (una quarantina suddivisi in due unità produttive), attraverso un codice a barra assegnato individualmente, di registrare le varie fasi dell’attività lavorativa, comprese le pause (con l’indicazione della specifica causale: ad esempio, riposo, attesa ricambi, eccetera).

L’Autorità lamenta la mancanza di risposte del datore di lavoro sulla natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che ha impedito di valutare l’effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire. Non è bastata, quindi, la spiegazione fornita dalla società sul fatto che «il sistema non fa nessun controllo sulle attività svolte, ma esegue un semplice conteggio del tempo impiegato».

Carenza accentuata dal fatto che tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che risulta incompleta e inidonea a rappresentare compiutamente il trattamento effettuato.

Una violazione particolarmente grave, se si considera che nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è espressione del dovere di correttezza, come ricorda anche il Gdpr.

Per questi motivi, l’informativa rilasciata ai dipendenti viene considerata carente circa l’indicazione dell’idonea base giuridica che consente il trattamento, con la conclusione che il trattamento è stato realizzato dalla società in violazione dei principi di liceità, correttezza e trasparenza.

Fonte: Il Sole 24 Ore – di Giampiero Falasca, Partner DLA Piper