Per quanto riguarda il primo tema, il Garante, nello specifico, ha sottolineato che il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti: non esiste, infatti, al momento alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività. Per tale ragione l’Autorità ha dunque sanzionato cinque società, impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti, con multe pecuniarie (settantamila euro la più alta) e l’ordine di cancellazione dei dati per aver trattato in modo illecito i dati biometrici di un numero alquanto elevato di lavoratori. Il Garante, intervenuto a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo. Dall’attività ispettiva svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse inoltre anche ulteriori violazioni da parte delle società che, a monte, non avevano in ogni caso fornito una informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy. In particolare si è accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate; infine le stesse modalità, ritenute illecite dall’Autorità, erano utilizzate presso altre nove sedi ove operava una delle società sanzionate. Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge).
Di segno, invece, diametralmente opposto e decisamente favorevole la pronuncia del Garante sullo schema di decreto del ministero della Giustizia che regola l’attivazione dell’archivio digitale delle intercettazioni (ADI) e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati. L’archivio (tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica) custodisce i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure. Il Garante, tuttavia, ha richiesto al ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati. Il testo dello schema di decreto all’esame del Garante non ha presentato, in ogni caso, criticità particolari sotto il profilo della protezione dei dati: recepisce, infatti, le indicazioni fornite in fase istruttoria dall’Autorità, quali la previsione di misure tecniche e organizzative di funzionamento del sistema necessarie a garantire livelli di sicurezza adeguati al rischio connesso al trattamento dei dati effettuato nell’archivio digitale e, nel contempo, delinea con chiarezza le funzioni svolte dal Procuratore della Repubblica che ha compiti di direzione, organizzazione e sorveglianza delle attività di intercettazioni sui relativi dati.
