Garante Privacy: sanzioni per videosorveglianza e controllo a distanza dei lavoratori

Il Garante per la protezione dei dati personali, con un provvedimento che risale allo scorso 1° giugno, ha inflitto una sanzione pari a 20mila euro a un’azienda che aveva usato in sede un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.

Le violazioni riscontrate 

L'azienda utilizzva l'impianto di videosorveglianza per effettuare registrazioni e, in assenza di informativa, un sistema di rilevazione delle impronte digitali dei dipendenti oltre che un sistema di rilevazione della posizione geografica dei dipendenti, tramite applicativo installato sui loro cellulari.

L’impianto era in grado di captare anche suoni, oltre che le immagini in diretta, e di fare registrazioni alle quali potevano accedere il legale rappresentante della società e la sua famiglia, tramite smartphone. Non solo, l’applicativo dava la possibilità all’utente di redarguire verbalmente gli interessati attraverso le casse dell’impianto.

Tracciamento costante via GPS

L'ispezione ha inoltre fatto emergere un'altra irregolarità: l’azienda utilizzava un applicativo che, quando in uso, tracciava in modo continuativo, tramite GPS, la posizione del dipendente nel corso della propria attività, data e ora del rilevamento, determinando così un controllo del lavoratore non permesso.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione avveniva senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.

Al fine di rafforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme, la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici di 21 persone, tra le quali anche dipendenti.

Violazioni del GDPR in merito al trattamento dei dati biometrici 

Il provvedimento ha infine rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cc.dd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze che non erano state rinvenute in questo caso specifico.

In aggiunta al pagamento della sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il costante monitoraggio della posizione del lavoratore.