L’Autorità Garante per la protezione dei dati personali ha recentemente sanzionato cinque società che avevano adottato un sistema di riconoscimento facciale per controllare le presenze sul posto di lavoro dei dipendenti.
Le sanzioni comminate oscillano dai 70 mila euro, ai 20 mila euro, fino ad arrivare a 2000 euro.
Il danno all’immagine è stato invece comune a tutte, in quanto i relativi provvedimenti sono stati pubblicati sul sito dell’Autorità.
Il Garante ha contestato l’assenza di una base giuridica che consenta l’uso di dati biometrici per svolgere l’attività di rilevamento delle presenze, evidenziando i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce della normativa nazionale ed europea.
Sono stati contestati anche altri illeciti fra i quali la mancata adozione di misure tecniche e di sicurezza adeguate, di un’informativa chiara e dettagliata per i lavoratori.È risultata assente anche la valutazione d’impatto prevista dall’art. 35 del GDPR, da predisporre prima dell’inizio del trattamento.
In tale contesto, si inserisce coerentemente anche il recente avvertimento del Garante Privacy inviato a Worldcoin Foundation, che sostiene un progetto di scambio di cryptovalute, basato sulla scansione dell’iride.
Detto trattamento biometrico, ha lo scopo di verificare l’identità degli utenti creando un’identità e una rete finanziaria basata sulla cryptovaluta, a livello globale; il dispositivo sarebbe inoltre grado di distinguere gli esseri umani dai prodotti dell’intelligenza artificiale.
L’Autorità ritiene che il trattamento dei dati biometrici basato sul consenso degli aderenti al progetto, rilasciato al momento sulla base di una informativa insufficiente, non può essere considerato una base giuridica valida.
La correlata promessa di ricevere token gratuiti incide negativamente sulla possibilità di esprimere un consenso libero e non condizionato; i rischi risultano inoltre amplificati dall’assenza di filtri per impedire l’accesso ai minori di 18 anni.