NEWS

Azienda usava il riconoscimento facciale per controllare i dipendenti a loro insaputa

Controllava il rispetto dei turni di lavoro e la produttività dei propri dipendenti utilizzando la tecnologia del riconoscimento facciale, il tutto a loro insaputa. Un'azienda di Alicante, in Spagna, aveva prima chiesto ai lavoratori una foto garantendo loro che le immagini sarebbero servite solo "per pubblicazioni sul sito web, volantini o altro materiale di supporto", ma poi l'aveva invece utilizzata per i suoi sistemi di sorveglianza. Per le violazioni della normativa sulla privacy, la società Plastic Forte è stata sanzionata dall'Autorità per la protezione dei dati iberica.

L'utilizzo dell'intelligenza artificiale che impiega l'immagine del volto della persona è una tecnica considerata ad alto rischio dal GDPRCome riporta il quotidiano spagnolo El Diario, la multa (inizialmente di 20mila euro, poi ridotta a 12mila quando la società ha riconosciuto le proprie responsabilità) è arrivata da parte dell'Agenzia spagnola per la protezione dei dati (Aepd) in seguito ad una segnalazione di un impiegato che aveva chiesto al datore di lavoro informazioni sui suoi dati personali da essa trattati.

Pur avendo un registro orario dei periodi in cui il dipendente si trovava nei luoghi di lavoro, la documentazione fornita dall'azienda di prodotti in plastica non menzionava il possesso dei dati biometrici del personale.

Tra gli usi dell'intelligenza artificiale, quella che impiega l'immagine del volto della persona è una delle tecniche considerate "ad alto rischio". Per questo, i regolatori della privacy dei vari Paesi dell'Ue hanno chiesto che venga utilizzata solo quando non sono disponibili opzioni più sicure. Un principio che è stato violato però da Plastic Forte, che ha usato il riconoscimento facciale per controllare il tempo di lavoro dei propri dipendenti senza informarli e pur disponendo di sistemi di vigilanza meno invasivi come il badge o la timbratura dei tradizionali cartellini marcatempo.

Inizialmente l'azienda aveva sostenuto davanti all'Aepd che la legge le imponeva di tenere un registro degli orari di lavoro e che, essendo questo "l'unico scopo" dei dati biometrici raccolti, non si riteneva obbligata a rendere noto l'uso di questa tecnologia. Nonostante questo, Plastic Forte ha comunque deciso di rinunciare al diritto di presentare ricorso e ha potuto così beneficiare del pagamento della sanzionein misura ridotta di 12mila euro.

Nella risoluzione n. EXP202209921, l'Aepd ha precisato che l'uso del riconoscimento del viso per il controllo delle presenze è "un sistema di identificazione altamente intrusivo per le libertà fondamentali delle persone". Il suo utilizzo non è vietato, ma richiede una valutazione d'impatto che deve includere un'analisi della "necessità e proporzionalità" di tali sistemi, ricordando che possono essere diversi i rischi associati ad un uso sbagliato di tali tecniche, a partire dal dirottamento delle informazioni biometriche verso "banche dati centralizzate" meno sicure.

Nel caso in cui si decida comunque di implementare il sistema, il garante spagnolo ha sottolineato che bisogna tenere conto della quantità di dati facciali raccolti rispettando il principio di minimizzazione richiesto dal GDPR, spiegando nel proprio comunicato che "da un lato, la dimensione del modello dovrebbe essere sufficientemente grande per gestire la sicurezza e, dall'altro, non dovrebbe essere troppo grande per evitare rischi di ricostruzione dei dati biometrici".

Quello di Plastic Forte non è un caso isolato, considerando che sono diverse le situazioni un cui l'ente spagnolo ha dovuto sanzionare registrazioni di immagini o di audio illecite. Anche la settimana scorsa, l'Aepd aveva infatti multato un'altra azienda per aver installato un sistema di videosorveglianza in grado di trasmettere audio in tempo reale da un locale, senza però informare i lavoratori o i clienti.

Note Autore

FederPrivacy FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Le grandi piattaforme digitali sotto la lente della Commissione UE: 4 mesi per adeguarsi al Digital Services Act
Next Vendita di smartphone usati: dati personali a rischio senza cancellazione sicura. L'infografica con le best practices per tutelare la privacy

25 maggio 2023: il Privacy Day Forum al CNR di Pisa nel giorno del 5° anniversario del GDPR

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy