Il Garante sanziona una società per aver installato una telecamera, un sistema di allarme con attivazione mediante impronte digitali e una app di geolocalizzazione.
Per ulteriori approfondimenti consigliamo: I ricorsi al Garante della privacy-I diritti, i doveri e le sanzioni
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto una segnalazione in cui si dava conto che una società aveva installato, presso la propria sede, un sistema di videosorveglianza con funzione di registrazione, senza la necessaria informativa, un sistema di rilevazione delle impronte digitali dei dipendenti e un sistema di rilevazione della posizione geografica dei dipendenti tramite una app installata sui loro cellulari.
In seguito a detta segnalazione, il Garante inviava la Guardia di Finanza a effettuare un accertamento ispettivo presso i locali della società, da cui emergeva che era installata una telecamera presso la reception e che la stessa risultava disattivata, anche se era possibile attivarla mediante l’apposito pulsante, nonché risultava dotata di servizio di registrazione delle immagini (che si attivava al momento di attivazione della telecamera stessa) e di speaker per la riproduzione di audio (mentre in generale il sistema di videosorveglianza era composto da altre 5 telecamere installate all’interno della abitazione personale del titolare della società). In secondo luogo, emergeva che erano stati installati tre rilevatori di impronte digitali, uno presso ognuno degli immobili dove viene svolta l’attività della società. Infine, emergeva che nei telefoni dei dipendenti della società era installata una APP che permetteva la rilevazione continua della posizione geografica del dispositivo allorquando lo stesso risultava attivo.
A fronte della richiesta di chiarimenti da parte del Garante, la società faceva presente che la telecamera era sempre stata tenuta spenta ed era stata acquistata a seguito di un episodio di accesso abusivo all’interno dell’azienda con conseguente furto, nonché che la stessa si attivava solo con l’inserimento del sistema di allarme e si spegneva con il disinserimento dell’allarme.
Per quanto riguarda il sistema di rilevazione delle impronte digitali, la società dichiarava che lo stesso serviva esclusivamente per permettere ai dipendenti di attivare e disattivare l’allarme posto a protezione degli immobili aziendali: in altri termini, le impronte erano state acquisite solo per gestire il sistema di allarme e non erano memorizzate nei terminali di rilevazione né nella centrale cui detti terminali erano collegati.
Per quanto concerne, invece, la geolocalizzazione tramite la APP, la società dichiarava di non essere a conoscenza che il tracciamento della posizione geografica fosse effettuato dalla APP in maniera continuativa, bensì di essere convinta che la rilevazione avveniva soltanto nel momento in cui il dipendente terminava l’intervento presso il cliente e che tale informazione era finalizzata a dimostrare l’esecuzione della prestazione da parte della società e la sua durata, per far fronte ad eventuali contestazioni dei clienti circa i compensi loro richiesti dalla società medesima.
Infine, la società confermava di non aver installato alcun cartello con riferimento alla presenza della telecamera e di non aver fornito alcuna informativa scritta ai dipendenti circa la telecamera medesima, al sistema di rilevazione delle impronte digitali e a quello di geolocalizzazione, ma di essersi limitati a dare un’informativa orale ai medesimi in considerazione dell’“ambiente lavorativo estremamente familiare” in cui veniva svolta la prestazione lavorativa da parte dei dipendenti.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria svolta nel procedimento è emerso che la società ha effettuato alcune operazioni di trattamento, riferite ai propri dipendenti, che risultano non conformi alla disciplina in materia di protezione dei dati personali: sia con riferimento al trattamento dei dati di geolocalizzazione, attraverso la APP installata sugli smartphone in uso ai dipendenti, sia con riferimento al trattamento dei dati per mezzo del sistema di videosorveglianza, nonché con riferimento al trattamento dei dati biometrici (cioè le impronte digitali) per l’attivazione e la disattivazione del sistema d’allarme.
Per quanto riguarda l’acquisizione delle impronte digitali dei dipendenti, il garante ha ritenuto che la società abbia trattato dei dati biometrici in assenza di un’idonea base giuridica: ciò sia nella fase di acquisizione delle impronte digitali (la quale anche sostanzia un trattamento di dati biometrici), che nella fase di riconoscimento al momento della attivazione o della disattivazione del sistema di allarme.
A tal proposito, si evidenzia che il trattamento dei dati biometrici e generalmente vietato dalla normativa in materia di protezione dei dati personali e che lo stesso è consentito soltanto qualora ricorra una delle condizioni previste dal codice privacy. Inoltre, con riferimento ai trattamenti effettuati in ambito lavorativo, gli stessi possono essere considerati leciti soltanto quando sono necessari per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
Tuttavia, nel caso di specie, il trattamento dei dati biometrici era finalizzato all’attivazione ed alla disattivazione in sistema di allarme installato presso la sede della società e pertanto non in linea con la disciplina giuridica sopra richiamata.
Inoltre, risulta altresì illecita l’omissione dell’informativa agli interessati, in quanto le informazioni privacy possono essere fornite oralmente soltanto se vengono richieste con tale modalità dagli interessati.
Per quanto concerne, invece, il trattamento dei dati relativi alla posizione geografica, è emerso che la applicazione installata sui dispositivi mobili dei dipendenti traccia, in maniera continuativa, la posizione del lavoratore nello svolgimento della sua attività lavorativa tutte le volte in cui l’applicazione è in uso.
Ciò configura un controllo a distanza del lavoratore, che, nel caso di specie, è stato effettuato in violazione della disciplina di settore, in quanto carente della previa stipulazione di un accordo collettivo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali o dell’autorizzazione da parte dell’ispettorato del lavoro (per ipotesi in cui non è stato possibile raggiungere un accordo con i sindacati o in caso di assenza delle suddette rappresentanze sindacali).
Pertanto, posto che i trattamenti di dati personali effettuati nell’ambito del rapporto di lavoro devono svolgersi nel rispetto anche del principio di liceità (e cioè di conformità alle discipline di settore applicabili al caso di specie), il trattamento dei dati relativi alla posizione geografica dei dipendenti risulta effettuato in violazione del richiamato principio di liceità.
In secondo luogo, i dati trattati relativamente alla rilevazione della posizione geografica risultano sproporzionati rispetto alla finalità per cui gli stessi sono stati raccolti. Infatti, posto che la società ha dichiarato che la finalità era quella di poter dimostrare ai propri clienti l’attività svolta, l’acquisizione della posizione geografica del dipendente per tutto il tempo in cui l’applicazione è attiva, risulta eccessiva rispetto alla suddetta finalità.
Infine, anche con riferimento a detto trattamento, la società non ha fornito un’idonea informativa agli interessati, non essendo sufficiente un’informativa resa in forma orale.
Per quanto riguarda, infine, l’uso del sistema di videosorveglianza, posto che – nel caso di specie – dallo stesso può derivare un controllo a distanza dell’attività lavorativa, la società non ha dimostrato di aver rispettato la specifica procedura descritta dalla normativa di settore per poter procedere con l’istallazione.
Anche in questo caso, quindi, la condotta tenuta dalla società sostanza una violazione del principio di liceità del trattamento.
Infine, anche con riferimento a detto trattamento, la società non ha rispettato l’obbligo di fornire un’adeguata informativa agli interessati circa il trattamento medesimo.
3. La decisione del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha ritenuto che il trattamento dei dati personali effettuato dalla società ed in particolare il trattamento dei dati biometrici, di quelli relativi alla posizione geografica, nonché dei dati dei dipendenti attraverso il sistema di videosorveglianza risulta illecito.
In considerazione della natura, della gravità e della durata della violazione, nonché il grado di responsabilità del titolare del trattamento e delle modalità in cui il garante ha preso conoscenza della violazione, l’autorità di controllo ha ritenuto di dover esercitare nei confronti della società i poteri corretti attribuiti dal regolamento europeo per la protezione dei dati personali.
In particolare, il garante ha disposto il divieto del trattamento effettuato mediante il sistema di videosorveglianza da parte della società nonché il divieto di monitoraggio continuo nella posizione del lavoratore effettuato attraverso la applicazione installata sui dispositivi mobili attribuiti ai dipendenti.
Infine, il garante ha disposto l’applicazione di una sanzione amministrativa pecuniaria che, commisurata alle circostanze del caso concreto, è stato quantificato nell’importo di euro 20.000 (ventimila).
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento