Con la Newsletter 26 luglio 2023 n. 507, il Garante Privacy torna ad esprimersi sul tema del controllo a distanza dei lavoratori, ribadendo ancora una volta che il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.
Il caso di specie
Viene ispezionata dal Garante un'azienda che ha installato un sistema di allarme la cui attivazione e disattivazione si basava sull'uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.
In particolare, con riferimento al sistema di videosorveglianza, lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni.
Il sistema era raggiungibile, attraverso uno smartphone, dal legale rappresentante della società e dalla sua famiglia, con la possibilità di ammonire verbalmente gli interessati, attraverso le casse dell'impianto.
L'azienda, inoltre, utilizzava un applicativo che, quand'era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.
Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un'adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell'Ispettorato del lavoro). Per quanto riguarda la videosorveglianza, è stata rilevata anche l'assenza di cartelli informativi.
Infine, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.
Il Garante cogli l'occasione per ricordare che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle categorie particolari di dati (art. 9 GDPR), è consentito solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell'interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.
La condanna del Garante
Per le condotte appena esposte, il Garante Privacy ha condannato l'azienda alla multa di € 20.000,00 e ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.
Fonte: Newsletter Garante Privacy 26 luglio 2023 n. 507