Garante Privacy: niente riconoscimento facciale per il controllo presenze dei dipendenti
Nella sua più recente newsletter del 28 marzo 2024, il Garante per la protezione dei dati personali ha affrontato diverse tematiche, tra queste emerge di particolare interesse una sanzione inflitta a cinque società di smaltimento rifiuti che impiegavano un sistema di riconoscimento facciale per controllare le presenze dei lavoratori in azienda.
Il Garante ha precisato che, al momento, non esiste alcuna norma che consenta l’impiego di dati biometrici per realizzare tale finalità di trattamento e che il riconoscimento facciale usato nell’ambito dell’attività lavorativa comporta elevati rischi per i lavoratori e per i loro diritti. Dall’attività ispettiva avviata a seguito di reclami presentati al Garante dai dipendenti delle aziende sono emerse anche altre violazioni della disciplina in materia di privacy.
Il Nucleo Speciale Privacy della Guardia di Finanza, che, lo ricordiamo, è il braccio operativo dell’Autorità, ha infatti scoperto che tre aziende delle cinque aziende sanzionate, avevano condiviso per oltre un anno lo stesso sistema di rilevazione biometrica, trascurando le misure tecniche e di sicurezza adeguate.
Inoltre, il sistema di riconoscimento facciale veniva adoperato presso altre nove sedi, dove operava una delle società sanzionate. Mancava una informativa chiara per i lavoratori e tanto meno era stata effettuata la valutazione d’impatto prevista dalla normativa.
Il Garante, nel suo provvedimento, ha chiarito che, esistendo meccanismi più semplici per verificare la presenza dei dipendenti, come il badge, le aziende avrebbero dovuto impiegare questi strumenti e non trattare dati biometrici.
Le azienda sono state dunque sanzionate ed è stata ordinata la cancellazione dei dati trattati illecitamente.
Senza consenso corretto, il trattamento per fini di marketing è illecito
Cinquanta mila euro è invece la sanzione comminata dal Garante ad un’azienda di trasporti per aver trattato i dati dei clienti per fini di marketing senza un consenso.
L’azienda, infatti, utilizzava un modulo per la sottoscrizione dell’abbonamento che non permetteva ai clienti di comprendere chiaramente quali dati era obbligatorio rilasciare per l’adesione al servizio e quali erano invece i dati facoltativi, raccogliendo, ad esempio, il numero di cellulare e l’indirizzo email, dati evidentemente non necessari per un abbonamento al servizio di trasporto pubblico, l’informativa poi non era chiara e non consentiva il rilascio di un consenso libero, specifico e informato per il trattamento dei dati per fini di marketing; non veniva poi segnalato distintamente agli utenti il diritto di opporsi al trattamento per finalità di marketing diretto.
Inoltre, l’azienda non aveva effettuato gli opportuni controlli al proprio sistema di gestione della privacy utilizzato prima dell’entrata in vigore del Regolamento europeo in materia di privacy, l’informativa sul trattamento dei dati non era aggiornata nè il modulo di richiesta della tessera, né le proprie politiche interne in materia di conservazione dei dati.
Oltre alla sanzione, l’Autorità ha ordinato il divieto di trattare, per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, i dati degli utenti raccolti senza l’informativa corretta e sulla base di consensi non legittimi, imponendo all’azienda di rilasciare una nuova e corretta informativa, mettendola a disposizione dei clienti sul proprio sito web, presso la sede aziendale, i punti vendita, e fornendola a ciascun interessato al primo contatto utile.
Appuntamenti con il medico tramite siti e app. Le indicazioni del Garante
L’autorità Garante è intervenuta, inoltre, per supportare i medici e gli operatori sanitari che utilizzano siti e applicazioni per fissare la prenotazione delle visite con un provvedimento contenente dieci punti essenziali in cui vengono precisati gli obblighi e gli adempimenti da rispettare quando si trattano dati personali particolarmente sensibili tramite tali piattaforme di intermediazione.
Nel documento viene precisato come le piattaforme digitali che forniscono tale servizio, nella maggior parte dei casi, appartengono ad aziende che si trovano ubicate fuori dal territorio nazionale, i dati sia personali che sanitari dei pazienti vengono utilizzati per plurime finalità da diversi soggetti che possono avere diversi ruoli nell’iter di trattamento del dato (titolare, contitolare e responsabile del trattamento).
Il Garante, pertanto, suddivide tali trattamenti in tre macro categorie: dati dei pazienti, necessari per fornire loro servizi anche di tipo amministrativo connessi alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); dati personali dei professionisti sanitari trattati per diverse finalità (ad es. gestione dell’agenda del medico e recensioni degli utenti); dati sulla salute dei pazienti, trattati per scopi di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).
Per ogni tipologia, si individuano le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi delle piattaforme che forniscono al professionista il servizio di intermediazione con il paziente; sul punto il Garante rammenta la necessità di adottare misure di sicurezza tecniche e organizzative, finalizzate a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.
Raccomanda poi di eseguire una preventiva valutazione di impatto sul trattamento di dati quando si individua un rischio elevato per i diritti e le libertà delle persone fisiche.
Infine, un paragrafo del documento è dedicato all’informativa e alle informazioni che devono essere rese agli interessati affinchè tali trattamenti siano lecitamente compiuti.
Garante Privacy: ok all’archivio digitale interdistrettuale per le intercettazioni
Nella stessa newsletter del mese di marzo, il Garante menziona il parere favorevole espresso sullo schema di Decreto del Ministero della Giustizia che disciplina le modalità di gestione dell’archivio digitale delle intercettazioni (ADI) tenuto presso le infrastrutture interdistrettuali.
L’archivio conserva al suo interno i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure.
Nell’esprimere il proprio parere a favore dell’ultima bozza del provvedimento con cui sono stati accolti i rilievi già espressi dal Garante lo scorso settembre e poi in dicembre, sulla necessità di fare chiarezza in merito alle misure di sicurezza tecniche e organizzative di funzionamento del sistema, l’Autorità ha manifestato al Ministero l’esigenza di meglio definire nel testo del decreto, il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, al fine di cancellare eventuali dubbie interpretazioni della norma e semplificare l’esercizio dei diritti da parte degli interessati.