Il Garante per la Protezione dei Dati Personali (GPDP) ha recentemente preso una posizione ferma contro l’utilizzo del riconoscimento facciale per il monitoraggio delle presenze dei lavoratori, evidenziando come tale pratica rappresenti una violazione della privacy dei dipendenti. Questa decisione segue un’indagine approfondita condotta dall’autorità, che ha portato alla luce l’illecito trattamento dei dati biometrici di numerosi dipendenti da parte di diverse società.
Il caso esaminato dal GPDP riguardava l’utilizzo di un sistema di riconoscimento facciale per la gestione delle presenze dei dipendenti in un cantiere. Il sistema era in grado di raccogliere dati biometrici attraverso la scansione dei volti, dati che venivano poi utilizzati per monitorare l’accesso e le presenze dei lavoratori. Il dispositivo, una volta installato, non aveva subito modifiche significative alle impostazioni di default, permettendo così un accesso relativamente semplice e un’estrazione dei dati degli utenti, compresi quelli dei dipendenti licenziati.
La mancata modifica delle credenziali di admin predefinite e l’assenza di misure di sicurezza adeguate hanno esacerbato il rischio di una potenziale violazione dei dati. La gestione dei dati di presenza, inclusa la raccolta, l’elaborazione e la conservazione dei dati biometrici, era stata affidata a una società esterna senza una chiara designazione delle responsabilità relative al trattamento dei dati, né l’implementazione di un registro dei trattamenti o la realizzazione di una Valutazione di Impatto sulla Protezione dei Dati (DPIA), come richiesto dalla normativa.
Di fronte a queste pratiche, il GPDP ha emesso sanzioni pecuniarie a diverse entità coinvolte, evidenziando la mancanza di un consenso informato da parte dei dipendenti, l’insufficienza delle misure di sicurezza, e la non conformità alle normative sulla privacy e protezione dei dati, come il GDPR. Queste azioni sottolineano l’importanza di una gestione responsabile e legittima dei dati personali nel luogo di lavoro, soprattutto quando si tratta di dati biometrici, considerati particolarmente sensibili.
In aggiunta, è stato evidenziato come anche aziende esterne, quali la società americana Clearview AI, abbiano affrontato sanzioni significative per il trattamento illecito di dati biometrici, inclusi quelli di cittadini italiani, rafforzando ulteriormente la necessità di un attento esame delle pratiche di raccolta e utilizzo dei dati personali per evitare violazioni della privacy.
Questo caso risalta l’importanza critica della conformità con le leggi sulla privacy e la protezione dei dati, insieme alla necessità di adottare approcci meno invasivi e più sicuri per la gestione delle presenze dei dipendenti, privilegiando alternative che non compromettano i diritti alla privacy individuale.