Il Garante per la protezione dei dati personali, con Provvedimento del 1° giugno 2023, ha sanzionato una società per aver installato e messo in funzione un sistema di videosorveglianza, con attiva la funzione di registrazione e in assenza di informativa, un sistema di rilevazione delle impronte digitali dei dipendenti e un sistema di rilevazione della posizione geografica dei dipendenti tramite applicativo installato sui cellulari degli stessi, tracciando continuativamente la posizione del dipendente nel corso della propria attività, determinando così un controllo del lavoratore non consentito. Il trattamento dei dati della videosorveglianza e quello di localizzazione erano effettuati senza che fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro) e senza che i lavoratori venissero adeguatamente informati. Per quanto riguarda la videosorveglianza, è stata altresì rilevata l’assenza di cartelli informativi in loco.
Il quadro normativo vigente, infatti, prevede che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (art. 9, par. 4, del Regolamento UE 2016/679). A tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196, come modificato dal d.lgs. 10 agosto 2018, n. 101). La norma prevede che è lecito il trattamento di tali categorie di dati “in conformità alle misure di garanzia disposte dal Garante”.
I dati devono essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi, “compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione”.
Nel caso di specie, la condotta tenuta dalla società, in spregio dei principi di cui sopra, configurava una vera e propria violazione del principio di liceità del trattamento.
Quanto alla modalità di tracciamento della posizione dei lavoratori, questa è risultata continuativa, organizzata appositamente per verificare la posizione del lavoratore nello svolgimento della propria attività lavorativa quando l’applicativo risultava in uso in modo stabile, in netto contrasto con il principio di minimizzazione dei dati, considerato che, alla luce dello stesso, il titolare del trattamento deve trattare dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. In aggiunta a ciò, il garante ha rilevato che tale condotta si pone in contrasto con la disciplina di settore in materia di controlli a distanza, la quale non consente l’effettuazione di attività idonee a realizzare il controllo prolungato, massivo e indiscriminato dell’attività del lavoratore.
Relativamente al controllo audio visivo in diretta, inquadrante le postazioni di lavoro, deve essere oggetto di apposito accordo sindacale e comunque deve essere reso noto con apposita informativa. La mancanza di un’adeguata informativa ai dipendenti risulta in contrasto con quanto prescritto dall’art. 114 del Codice, considerato che, nel caso di installazione di un impianto di videosorveglianza dal quale derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, è necessario ottenere il rilascio di una apposita autorizzazione da parte dell’Ispettorato del lavoro.
Il trattamento dei dati personali che era stato effettuato dalla Società e, nello specifico, il trattamento dei dati biometrici, di quelli relativi alla posizione geografica, nonché dei dati dei dipendenti attraverso il sistema di videosorveglianza risultava, per questi motivi, illecito.
Nonostante la condanna nei confronti della società, non è, tuttavia, da escludere la possibilità per una azienda di poter installare un sistema di videosorveglianza, per scopi di tutela del patrimonio e di sicurezza anche dei lavoratori, a patto che si configuri previamente il sistema di videosorveglianza in modo da consentire l’accesso allo stesso solo a soggetti autorizzati, escludendo la funzione di captazione dell’audio, se non per ragioni particolari, correttamente documentate; per quanto riguarda l’adozione di un sistema di rilevazione della posizione geografica del lavoratore per finalità organizzative e produttive, lo stesso dovrà essere conforme alle procedure di garanzia previste all’art. 114 del Codice in materia di protezione dei dati personali, prima dell’attivazione del sistema.
Foto di Jimmy Tomás