Il sistema di riconoscimento facciale all’aeroporto di Incheon, Corea del Sud
Il trattamento dei dati biometrici è consentito soltanto in casi eccezionali, non certo per l’ordinaria gestione del rapporto tra datore di lavoro e dipendente e neppure per tutelarsi da assenteisti e timbrature farlocche. Un principio che il Garante della privacy ha ribadito nel recentissimo provvedimento che ha sanzionato con una multa di 70mila euro la società specializzata nella gestione dei rifiuti "L’Igiene Urbana Evolution srl", con sede legale a due passi dalla Stazione Centrale di Milano.
Nel mirino dell’Authority è finito il dispositivo di riconoscimento facciale "Face Deep 3-Smart Face Recognition System", installato dall’azienda nel sito di Ardea, in provincia di Roma, e in altri otto cantieri del Centro-Sud. Stando a quanto ricostruito, il 24 ottobre 2022 alcuni dipendenti dell’azienda presentano un reclamo all’organismo guidato da Pasquale Stanzione, spiegando che da otto mesi l’accesso all’area di lavoro prevede il passaggio davanti a un rilevatore biometrico.
Il 19 gennaio 2023 , il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ispeziona il sito, dove lavorano anche i dipendenti di altre due società in associazione temporanea d’imprese con la capofila, e in effetti accerta che "all’interno di un locale adiacente al parco automezzi è presente un dispositivo di riconoscimento dei dipendenti basato sulla biometria del volto"; il sistema, annotano le Fiamme gialle, "viene utilizzato per la rilevazione delle presenze dei circa 63 dipendenti delle società, più eventuali stagionali o sostituti temporanei".
Una settimana dopo, nel corso di un controllo nella sede amministrativa de "L’Igiene Urbana Evolution", in provincia di Salerno, i responsabili aziendali spiegano che "Face Deep 3" è stato installato "anche alla luce di numerosi procedimenti disciplinari relativi a ritardi, assenze, interruzioni e abbandoni dal servizio, nonché in virtù di numerosi contenziosi e sentenze di condanna collegati a rivendicazioni di compensi di lavoro straordinario".
E ancora: "Gli ordinari strumenti di contrasto adottati a tal fine si sono dimostrati del tutto inefficaci. È in questo contesto che, nell’esercizio delle fisiologiche prerogative di organizzazione e controllo sul regolare espletamento delle prestazioni a fini difensivi, si è ritenuto di adottare misure che, nel pieno rispetto dei diritti dei lavoratori, consentissero di stroncare alla radice un fenomeno distorsivo".
I vertici societari aggiungono che altri nove dispositivi (uno dei quali si scoprirà poi non funzionante a Ravello) sono stati montati in altrettanti siti e assicurano che la ditta che ha venduto il sistema per conto della casa produttrice ha rilasciato una certificazione di conformità al Regolamento generale sulla protezione dei dati.
Non è così per il Garante, secondo il quale la srl ha violato una serie di norme elencate proprio in quel Regolamento. A cominciare da quella che stabilisce che il trattamento di dati biometrici è consentito solo se "necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale" ed esclusivamente "nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato".
Fatta questa premessa, "allo stato – chiarisce l’Authority – l’ordinamento vigente non consente il trattamento di dati biometrici dei dipendenti per finalità di rilevazione della presenza in servizio". Non basta: la srl ha omesso di fornire un’informativa sulle caratteristiche del trattamento dei dati acquisiti tramite riconoscimento facciale e non ha designato un responsabile del trattamento. Quindi, tenuto conto da un lato che la violazione ha riguardato in totale 276 dipendenti per un periodo superiore a un anno e dall’altro che la società ha immediatamente disattivato "Face Deep 3" dopo l’ispezione, il Garante ha fissato l’ammontare della sanzione a quota 70mila euro.