Francesca Fedele

Il controllo a distanza dei lavoratori (art. 4 Stat. Lav.) deve osservare alcuni limiti dettati dal Garante privacy (28 luglio 2023, n. 507) che ha comminato ad un datore di lavoro una sanzione amministrativa,  con divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e di monitoraggio continuo della posizione del lavoratore.

L’azienda in questione aveva installato: a) un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali; b) un impianto di videosorveglianza; c) e un applicativo per la geolocalizzazione di alcuni lavoratori.

Il Garante precisa che, ai fini della correttezza dei trattamenti dei dati personali dei lavoratori in azienda, è essenziale rispettare la procedura di garanzia prevista dallo Statuto dei lavoratori (art. 4 cit.) e dal Codice privacy.

Per quanto concerne il sistema di videosorveglianza, è stato accertato che lo stesso, oltre a permettere all’utente di ammonire verbalmente gli interessati: 1) consentiva attraverso le casse dell’impianto le riprese delle immagini in diretta; 2) era in grado di captare anche i suoni ed effettuare registrazioni; 3) vi avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia; 4) tracciava (se in uso), tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

I lavoratori non avevano ricevuto alcuna informativa adeguata sul trattamento (tramite un sistema di videosorveglianza e localizzazione) dei dati de quibus (mancavano anche cartelli informativi in loco) né erano state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro).

La Società (al fine di rinforzare ulteriormente le misure di sicurezza ai locali aziendali) aveva anche installato un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

Sul punto, il Garante rileva che “il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie”.

NEWSLETTER 26 luglio 2023, n. 507

Il Garante per la protezione dei dati personali, nella Newsletter del 26 luglio 2023, informa di aver sanzionato una azienda per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.

Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.

Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.

In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.

Dall’ispezione è emerso inoltre che l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.

Allo scopo di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

Al riguardo nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.

Oltre al pagamento della sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.

 

Controllo a distanza dei lavoratori
%d blogger hanno fatto clic su Mi Piace per questo: