Se nella vostra azienda ci sono telecamere non adeguatamente segnalate, se si utilizzano dati biometrici con leggerezza e se l’app di lavoro che per risparmiare avete fatto internamente raccoglie i vostri dati di geolocalizzazione, allora continuate a leggere questo articolo perché potrete trovare utili consigli su come evitare una consistente sanzione del Garante privacy.
Indice
Il caso
Lo scorso giugno, un’azienda milanese ha ricevuto una sanzione da ben 20.000,00 € dal Garante privacy a seguito di una segnalazione partita a fine 2019 e del conseguente accesso ispettivo del Nucleo speciale privacy e frodi informatiche della Guardia di Finanza, delegata dal Garante stesso.
Nel caso specifico il titolare del trattamento nonché datore di lavoro aveva installato dispositivi in violazione della normativa GDPR per il trattamento dati dei lavoratori: videosorveglianza, uso della biometria per disattivare l’allarme e geolocalizzazione.
Il trattamento dati dei lavoratori resta un tema caldo per il Garante, che anche in questo caso è entrato nel merito delle scelte del Datore di Lavoro. Vediamo, quindi, quali sono stati i rilievi elevati a tale azienda e come avrebbe potuto evitare tale sgradevole sanzione, aggravata anche dal fatto che il provvedimento veniva pubblicato con il nome dell’azienda in chiaro, con evidente ed immediato danno d’immagine.
La violazione della normativa sulla videosorveglianza
Innanzitutto il legale rappresentante, a seguito di un tentativo d’effrazione del perimetro di sicurezza aziendale, aveva deciso di installare una telecamera sull’ingresso per monitorare l’area (unico punto d’accesso) anche in orario di chiusura.
Fin qui tutto bene: finalità più che legittima.
Peccato solo che la telecamera non venisse affiancata da alcuna segnaletica informativa e d’avvertimento e che ai lavoratori non venisse consegnata alcuna informativa scritta sull’installazione di questo nuovo sistema di videosorveglianza, il quale inoltre riprendeva la receptionist di spalle mentre lavorava, con possibilità di registrazione delle immagini da parte del legale rappresentante.
L’ingenuità dell’azienda, che provava a giustificarsi con il fatto che – data la familiarità dell’ambiente di lavoro – tutte le informazioni venivano date oralmente, non sfuggivano al controllo del Garante.
Il Garante rilevava dunque la violazione dell’art. 13 del GDPR per la mancanza d’informativa (anche solo sottoforma di segnaletica d’avvertimento) nonché la violazione dell’art. 4 comma 1 dello Statuto del Lavoratore per la mancanza dell’accordo sindacale o dell’autorizzazione dell’Ispettorato del Lavoro sullo strumento tecnologico di controllo rappresentato appunto dalla videocamera con funzione di registrazione che riprendeva da dietro la receptionist durante il lavoro, di fatto dunque tenendola costantemente monitorata.
Ed a nostro avviso l’azienda può ritenersi fortunata in quanto il Garante sembra aver chiuso un occhio sul fatto che tale telecamera facesse parte di un più ampio sistema di telecamere collegate, di proprietà privata del legale rappresentante, installato anche a casa sua e a cui potevano accedere perfino i suoi familiari.
Infatti ,il Garante ben avrebbe potuto considerare un Data Breach l’accesso o comunque l’accessibilità da parte della famiglia del legale rappresentante, di fatto soggetti non autorizzati, ai dati personali dei dipendenti che venivano ripresi mentre passavano o lavoravano nella zona.
Trattamento dei dati biometrici non a norma
Come se non bastasse l’azienda veniva bacchettata altresì per aver trattato dati biometrici dei propri lavoratori, sotto forma di impronte digitali, seppur non ce ne fosse davvero bisogno e dunque eccedendo la reale necessità di rendere sicuro l’ambiente di lavoro: tale finalità, infatti, poteva benissimo essere perseguita anche senza tale sproporzionato trattamento.
Proprio come in uno dei futuristici laboratori top secret della Umbrella Corp., per attivare e disattivare il sistema di allarme, bastava posizionare il dito sul lettore di impronte digitali.
Peccato solo che non siamo in un film di spionaggio americano e che l’azienda neppure sapesse precisamente come tale sistema di sicurezza funzionasse davvero, ignorando l’effettiva memorizzazione delle impronte registrate.
Basarsi solo su quanto proclamato e pubblicizzato dal fornitore, senza approfondire l’effettivo funzionamento di tale sistema ed il trattamento di dati biometrici che ne conseguiva, costava dunque caro alla nostra sfortunata azienda.
Il Garante ravvisava infatti la violazione dell’art. 9 lett. b) del GDPR per aver trattato categorie particolari di dati senza un’adeguata base giuridica e, conseguentemente, anche dell’art. 13, per aver omesso di informare i proprio lavoratori al riguardo: inevitabilmente, non sapendo neppure di stare svolgendo un vero e proprio trattamento di dati biometrici, l’azienda non aveva neppure informato i propri dipendenti di ciò (si veda anche il nostro approfondimento sull’uso del dato Biometrico come badge per la rilevazione delle presenze).
Geolocalizzazione del lavoratore tramite app
Dulcis in fundo, non poteva mancare all’appello una gestione fatalmente superficiale dell’app che i dipendenti dell’azienda utilizzavano durante gli interventi fuori sede e presso i locali dei clienti.
Tale app, sviluppata internamente, nelle intenzioni dello sviluppatore avrebbe dovuto raccogliere la posizione del lavoratore solo all’inizio ed alla fine dell’intervento ma, a seguito dell’approfondita e scrupolosa ispezione del Garante anche sul codice sorgente, è risultato che la posizione dello smartphone del lavoratore era rilevata e raccolta costantemente durante tutto il periodo di apertura e lavoro sull’app.
Dunque tramite l’app l’azienda finiva in concreto per esercitare un controllo occulto sull’utilizzatore.
Per fortuna che almeno l’app poteva raccogliere dati solo tra le 8 e le 18, dal lunedì al venerdì, e solo quando essa era aperta (anche se, di fatto, il tecnico doveva tenerla aperta durante tutto l’intervento), seppur tale ultimo profilo appariva derivare più da una corretta impostazione predefinita del sistema operativo degli smartphone utilizzati, piuttosto che da una vera e propria scelta consapevole dello sviluppatore.
La sproporzione tra le finalità di raccolta del dato sulla geolocalizzazione (all’azienda serviva raccogliere solo due momenti, due “istantanee”) e quanto effettivamente raccolto dall’app in maniera indiscriminata e senza controllo tradiva la mancanza di un approccio conforme al fondamentale principio di privacy by design durante lo sviluppo interno dell’app.
Il Garante accertava dunque la violazione dell’art. 5 lett. c) del GDPR in tema di minimizzazione della raccolta dei dati personali, oltre che del combinato disposto degli artt. 88 GDPR, 114 Cod. Privacy e 4 comma 1 Sta. Lav. in tema di ulteriori misure appropriate e specifiche a salvaguardia dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro per aver omesso tali procedure di garanzia.
Conclusioni
Da tale vicenda possiamo trarre interessanti spunti di riflessioni ed incentivi a migliorare sempre più la governance delle nostre organizzazioni.
-
Prevenzione e formazione
Innanzitutto è evidente l’anti-economicità dell’attivazione difensiva “a frittata già fatta”, che costringe ad un oneroso lavoro d’urgenza, mentre invece pianificare in anticipo investimenti sulla cultura della prevenzione e sulla formazione (offerte da “uno studio legale 4.0” come il nostro) rappresenta un approccio molto più budget-oriented.
-
Chiarezza semplicità e trasparenza
Nella gestione delle risorse umane è inoltre importante puntare sulla chiarezza e semplicità delle informazioni fornite, nonché sulla trasparenza nei rapporti di lavoro.
È vero che è la stessa normativa di settore ad imporre tali principi, ma la conformazione ad essi può essere ulteriormente valorizzata in ottica strategica perseguendo obbiettivi di fidelizzazione dei lavoratori, arginando così il rischio di dimissioni di risorse rilevanti, su cui si è investito in termini di formazione, e che possono rappresentare una importantissima memoria storica dell’azienda.
È infatti probabile che nel caso appena analizzato la segnalazione al Garante privacy sia partita proprio da uno dei lavoratori dell’azienda, malgrado la stessa si pregiasse nei propri scritti difensivi di aver creato un “ambiente di lavoro familiare”.
-
Privacy by design negli strumenti tecnologici
Soprattutto quando si ha a che fare con strumenti tecnologici in ambito lavorativo, un approccio superficiale può costare davvero caro, più di quanto sia necessario per progettarne l’implementazione seguendo i principi della privacy by design e con la consulenza di un esperto nella compliance al GDPR e alla norma giuslavoristica.
Contattaci dunque per valutare quali accorgimenti adottare in relazione agli strumenti tecnologici utilizzati in ambito aziendale e per valutare se gli stessi siano configurabili come strumenti tecnologici di controllo (e necessitino dunque delle procedure di garanzia con le rappresentanze sindacali o l’Ispettorato del Lavoro) oppure come normali ed ordinari strumenti tecnologici di lavoro (e rientrino quindi nell’eccezione di cui al comma 2).
Tale differenza può apparire sfumata ma è proprio qui che si gioca, anche in un’ottica di accountability della scelta, la portata più innovativa del Job Acts che nel 2015 ha modificato l’art. 4 dello Statuto dei Lavoratori.