Il Garante per la protezione dei dati personali ha sanzionato cinque società per aver utilizzato un sistema di riconoscimento facciale allo scopo di rilevare le presenze dei dipendenti. Le multe per complessivi 103.000 euro sono state inflitte per il trattamento illecito dei dati biometrici dei lavoratori.
No al riconoscimento biometrico dei lavoratori
L’intervento del Garante è stato sollecitato dagli stessi dipendenti con una segnalazione pervenuta a fine ottobre 2022. Per accedere ad un cantiere situato nel Comune di Ardea (Roma) era necessario verificare la presenza tramite un sistema di riconoscimento facciale prodotto da Anviz Global.
Il dispositivo “Face Deep 3 – Smart Face Recognition System” è stato utilizzato dalle società L’Igiene Urbana Evolution s.r.l., Airone società consortile a r.l. e Blue Work s.r.l. che operano come ATI (associazione temporanea di imprese) per la gestione dei rifiuti del Comune di Ardea. Il sistema è stato venduto dalla società Unica s.r.l.s., mentre la società DM Technology ha fornito il software JuniorWeb per la gestione delle presenze e gli account di accesso.
Durante l’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse diverse violazioni da parte delle società. Le tre aziende dell’ATI hanno condiviso per più di un anno lo stesso sistema di rilevazione biometrica, senza adottare misure tecniche e di sicurezza adeguate. Inoltre non hanno fornito un’informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa sulla privacy.
Dato che non esiste nessuna norma che consenta l’uso del riconoscimento facciale per il controllo delle presenze, le suddette società hanno trattato illecitamente i dati dei lavoratori, violando il GDPR. Pertanto sono state inflitte le seguenti sanzioni: 70.000 euro a L’Igiene Urbana Evolution, 20.000 euro a DM Technology, 6.000 euro a Blue Work, 5.000 euro a Airone società consortile e 2.000 euro a Unica.
Oltre al pagamento delle multe, il Garante ha ordinato la cancellazione dei dati raccolti. Le società avrebbero dovuto utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti sul luogo di lavoro, come il badge. I sistemi di riconoscimento biometrico sono vietati anche dall’AI Act.