Mentoring per la Crescita Personale e Professionale
Marzo 17, 2025
NIS 2: Adempimenti entro il 31 Maggio
Aprile 7, 2025
Dal riconoscimento facciale al GPS, cosa si può fare e cosa no per rispettare la privacy dei collaboratori
La protezione dei dati personali è diventata un tema di crescente rilevanza, soprattutto con l’evoluzione tecnologica e l’integrazione di sistemi avanzati come il riconoscimento facciale. Il Garante per la protezione dei dati personali con la newsletter n. 520 del 28 marzo 2024 ha preso posizioni nette su vari aspetti della privacy, con particolare attenzione al trattamento dei dati biometrici in ambito lavorativo e ai dati personali nel settore dei trasporti pubblici e sanitario. A gennaio 2025 si è nuovamente espresso relativamente al monitoraggio di lavoratori e mezzi in ambito trasporto.
Riconoscimento facciale sul lavoro: violazione della privacy
Il Garante per la protezione dei dati personali ha ribadito il divieto dell’uso del riconoscimento facciale per il controllo delle presenze sul posto di lavoro, sanzionando cinque società per il trattamento illecito di dati biometrici di numerosi dipendenti. Queste società, tutte operanti in un sito di smaltimento dei rifiuti, hanno ricevuto sanzioni per un totale di oltre 100.000 euro (one abbiamo parlato qui). Secondo il Garante, tale sistema violava il Regolamento Generale sulla Protezione dei Dati (GDPR) poiché non esiste una base giuridica adeguata per tale trattamento in ambito lavorativo. Le violazioni accertate riguardano la mancanza di misure tecniche e di sicurezza adeguate e la condivisione del sistema di rilevazione biometrica tra diverse aziende senza adeguate garanzie.
L’uso del riconoscimento facciale per monitorare la presenza dei lavoratori non è attualmente supportato da normative che ne consentano l’applicazione. Secondo il Garante, i sistemi di riconoscimento facciale comportano rischi significativi per i diritti dei lavoratori, e le aziende coinvolte avrebbero dovuto adottare sistemi meno invasivi come i badge tradizionali.
Sicurezza dei dati degli abbonati ai trasporti pubblici
Anche nel settore dei trasporti pubblici, la protezione dei dati personali degli utenti è stata oggetto di attenzione del Garante. Un’azienda di trasporto dell’Emilia Romagna è stata sanzionata con una multa di 50.000 euro per aver raccolto consensi di marketing non validi tramite un modulo di sottoscrizione degli abbonamenti che non rispettava la normativa sulla protezione dei dati.
L’indagine ha rivelato che l’informativa resa ai passeggeri al momento della sottoscrizione era carente di molti elementi essenziali, impedendo così un consenso libero e informato. Inoltre, il modulo non consentiva di distinguere tra dati obbligatori e facoltativi, né segnalava chiaramente il diritto di opporsi al trattamento per finalità di marketing diretto. Come conseguenza, l’azienda è stata obbligata a rivedere le proprie informative e le politiche interne relative alla conservazione dei dati, rendendo disponibile una nuova informativa conforme al Regolamento UE.
Linee guida per siti e app di contatto tra medico e paziente
L’uso crescente di piattaforme digitali per mettere in contatto pazienti e professionisti sanitari ha portato il Garante a pubblicare un documento con 10 punti chiave per la corretta gestione dei dati personali in questo ambito. Queste linee guida sono particolarmente rilevanti per società stabilite sia in Europa che in Paesi terzi, che trattano dati personali e sanitari per vari scopi.
Il documento distingue tra tre macro tipologie di trattamenti: a) Dati anagrafici dei pazienti (necessari per fornire servizi amministrativi correlati alla prestazione sanitaria richiesta, come la creazione di account e la prenotazione di visite mediche), b) Dati dei professionisti sanitari (utilizzati per scopi diversi, come la gestione dell’agenda del medico e le recensioni degli utenti), e c) Dati sulla salute dei pazienti (trattati per finalità di diagnosi e cura, come la condivisione di prescrizioni o referti).
Per ciascuna di queste categorie, il compendio del Garante identifica le basi giuridiche, i ruoli e le responsabilità, e ricorda l’importanza di adottare misure di sicurezza tecniche e organizzative adeguate. Un aspetto cruciale sottolineato è la necessità di svolgere una valutazione di impatto preventiva sul trattamento dei dati, soprattutto quando questo presenta un rischio elevato per i diritti e le libertà delle persone.
L’archivio digitale delle intercettazioni: un passo verso la centralizzazione
Infine, il Garante ha espresso parere favorevole riguardo allo schema di decreto del Ministero della Giustizia per l’attivazione dell’archivio digitale delle intercettazioni (ADI). Questo archivio, gestito sotto la direzione del Procuratore della Repubblica, custodirà verbali, atti e registrazioni delle intercettazioni disposte dalle singole procure.
Il Garante ha chiesto al Ministero di chiarire il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per evitare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati. Questo decreto rappresenta la conclusione di un percorso iniziato con l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati.
Settore trasporto
Con il provvedimento n. 7/2025, il Garante Privacy ha sanzionato un’azienda di autotrasporto per aver monitorato circa 50 dipendenti tramite GPS senza la necessaria autorizzazione dell’Ispettorato Nazionale del Lavoro e senza fornire un’adeguata informativa ai lavoratori. L’azienda tracciava in modo continuativo posizione, velocità e stato dei veicoli, conservando i dati oltre i limiti previsti e senza anonimizzazione, in violazione del GDPR e delle indicazioni dell’Ispettorato.
Per evitare sanzioni, l’azienda avrebbe dovuto:
- ottenere l’autorizzazione preventiva dell’INL;
- informare chiaramente i dipendenti sul trattamento dei dati;
- raccogliere solo i dati strettamente necessari, pseudonimizzandoli;
- evitare il monitoraggio continuo e permettere la disattivazione fuori dall’orario di lavoro;
- conservare i dati solo per il tempo strettamente necessario.
Il Garante ha ordinato all’azienda di adeguarsi e di fornire una corretta informativa ai lavoratori.
Conclusioni
La protezione dei dati personali è un tema di crescente importanza in vari settori, dal lavoro ai trasporti, fino ai servizi sanitari. Le recenti attività del Garante per la protezione dei dati personali evidenziano la necessità di conformarsi alle normative vigenti per garantire la privacy e la sicurezza dei dati. Le sanzioni inflitte e le linee guida emanate servono come monito e orientamento per tutte le aziende e le istituzioni coinvolte nella gestione di dati personali e sensibili.
Riferimenti
[Garante per la protezione dei dati personali, Newsletter n. 520, 28 marzo 2024]
[Garante per la protezione dei dati personali, Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785, 9995808, 2024]
[R. Smeria per Diritto al Digitale, Il Garante Privacy prende una posizione netta in relazione al trattamento dei dati biometrici, 2024]
[Garante Privacy, Provvedimento del 16 gennaio 2025 n. 7]
AR – Riproduzione riservata ©
