Il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Non esiste al momento alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività. Per questo motivo il Garante privacy ha sanzionato cinque società - impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti - con sanzioni rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori.
L’Autorità, intervenuta a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo.
Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse anche ulteriori violazioni da parte delle società. In particolare l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate. Inoltre il medesimo “sistema”, ritenuto illecito dall’Autorità, era utilizzato presso altre nove sedi dove operava una delle società sanzionate. Le aziende, infine, non avevano fornito una informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy.
Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge). Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente.
Parere favorevole del Garante Privacy sullo schema di decreto del ministero della Giustizia che regola l’attivazione dell’archivio digitale delle intercettazioni (ADI) presso le infrastrutture interdistrettuali e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati. L’archivio - tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica - custodisce i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure.
Il Garante, tuttavia, ha chiesto al ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati.
Con l’attuale atto ministeriale si completa il percorso che ha già visto l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati presso tali sistemi, sui cui schemi il Garante si è espresso con parere favorevole rispettivamente nei mesi di settembre e di dicembre 2023. Il testo dello schema di decreto all’esame del Garante non presenta criticità sotto il profilo della protezione dei dati.
Recepisce infatti le indicazioni fornite in fase istruttoria dall’Autorità e prevede le ulteriori misure tecniche organizzative di funzionamento del sistema richieste dal Garante con il parere di dicembre.
Sono state, in particolare, delineate con chiarezza le funzioni svolte dal Procuratore della Repubblica: direzione, organizzazione e sorveglianza sulle attività di intercettazioni e sui relativi dati. E, sono state, inoltre, declinate con maggiore dettaglio le misure tecnico-organizzative necessarie a garantire livelli di sicurezza adeguati al rischio connesso al trattamento dei dati effettuato nell’archivio digitale.