Il Garante per la protezione dei dati personali ha inflitto una sanzione di 120mila euro a una concessionaria automobilistica per gravi violazioni della privacy dei dipendenti. La notizia è stata riportata nella Newsletter n. 525 del 26 giugno 2024, evidenziando l'uso improprio di sistemi di riconoscimento facciale e di software gestionali per il controllo delle presenze e delle attività lavorative.
Reclamo per uso illecito di dati biometrici
L'intervento dell'Autorità è stato avviato dopo il reclamo di un dipendente che ha denunciato l'uso illegale di un sistema di riconoscimento facciale per il controllo delle presenze. Il dipendente ha segnalato anche l'uso di un software gestionale che obbligava alla registrazione dettagliata delle riparazioni, dei tempi di lavoro e dei periodi di inattività. Questo comportamento ha sollevato serie preoccupazioni sulla privacy e sulla protezione dei dati personali.
Indagine e risultati del Garante
L'indagine, condotta con il supporto del Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, ha rivelato numerose violazioni del GDPR (Regolamento Generale sulla Protezione dei Dati, Regolamento UE 2016/679). In particolare, il Garante ha evidenziato che l'uso di dati biometrici per la rilevazione delle presenze è illegale in assenza di una normativa specifica (Art. 9 GDPR). Anche il consenso dei dipendenti non è ritenuto sufficiente a giustificare tale pratica, a causa dell'inevitabile asimmetria nel rapporto di lavoro.
Utilizzo improprio del software gestionale
Oltre alle violazioni relative ai dati biometrici, l'Autorità ha scoperto che la concessionaria raccoglieva dati personali sui dipendenti tramite un software gestionale, senza un'adeguata base giuridica (Art. 6 GDPR) e senza fornire una corretta informativa (Art. 13 GDPR). Questi dati venivano utilizzati per creare report mensili destinati alla casa madre, senza rispettare i principi di correttezza e trasparenza (Art. 5 GDPR).
Conseguenze e adeguamenti richiesti
La concessionaria non solo è stata multata di 120mila euro, ma è stata anche obbligata ad adeguare le sue pratiche di gestione dei dati personali. Questo include la cessazione immediata dell'uso di sistemi di riconoscimento facciale per il controllo delle presenze e l'adeguamento del software gestionale alle normative sulla privacy.
Implicazioni per le aziende
Questo caso mette in evidenza l'importanza cruciale della conformità al GDPR per tutte le aziende. L'uso improprio dei dati personali, in particolare quelli sensibili come i dati biometrici, può portare a gravi conseguenze legali e finanziarie. Le aziende devono garantire che i loro sistemi di gestione dei dati siano trasparenti e conformi alle normative sulla privacy.
Per evitare sanzioni simili, è fondamentale che le imprese adottino politiche di privacy rigorose, forniscano una corretta informativa ai dipendenti e assicurino che ogni trattamento dei dati personali sia supportato da una base giuridica adeguata.
Comments