Il Garante per la protezione dei dati personali precisa che è sempre illecito, in quanto non autorizzato dalla legge (Provvedimenti nn. 105, 106, 107, 108 e 109/2024)
Il Garante Privacy ha recentemente sanzionato cinque Società, fra di loro associate, per la medesima violazione, ovvero l’aver illecitamente utilizzato strumenti di riconoscimento facciale dei dipendenti per finalità di rilevazione delle presenze (Provvedimenti nn. 105, 106, 107, 108 e 109 del 22 febbraio 2024).
L’Autorità Garante ha considerato il trattamento illecito poiché non autorizzato da alcuna norma di legge specifica e condotto in violazione dei principi di minimizzazione e proporzionalità del trattamento.
Il Garante ha poi evidenziato ulteriori importanti violazioni della normativa privacy: il trattamento non autorizzato di dati personali dei dipendenti delle associate da parte della capogruppo; un’informativa lacunosa; l’assenza di un responsabile del trattamento; il mancato aggiornamento del registro dei trattamenti e la mancata adozione di alcuna DPIA (Data Protection Impact Assesment).
