Il 19 dicembre 2024, la CNIL ha inflitto a un’azienda una multa di 40.000 euro per aver monitorato in modo sproporzionato l’attività dei suoi dipendenti, utilizzando un software configurato per registrare i periodi di presunta “inattività” e per acquisire regolarmente screenshot dei loro computer. Inoltre, i dipendenti venivano ripresi costantemente.
Il contesto
Un’azienda operante nel settore immobiliare aveva installato sui computer di alcuni suoi dipendenti un software per monitorare le loro attività durante il telelavoro. Utilizzava inoltre un sistema di videosorveglianza nei suoi locali per prevenire danni alla proprietà (furti).
In seguito alle denunce, la CNIL ha effettuato un’ispezione. Nel corso delle sue indagini, la CNIL ha constatato in particolare che l’azienda filmava costantemente i suoi dipendenti, catturandone l’immagine e il suono, e che misurava il loro tempo di lavoro e valutava le loro prestazioni con estrema precisione mediante il software installato sui loro computer.
Di conseguenza, il comitato ristretto , ovvero l’organismo della CNIL incaricato di emettere sanzioni, ha imposto alla società una multa di 40.000 euro. Ha deciso di pubblicare la sua decisione in considerazione della gravità delle violazioni e per informare chiunque sia soggetto a tali misure. Tuttavia, ha deciso di non rivelare il nome dell’azienda, date le sue piccole dimensioni e l’immediato ritiro del software durante la verifica.
L’importo della sanzione è stato deciso alla luce delle violazioni riscontrate e tenendo conto della situazione finanziaria della società e delle sue piccole dimensioni, al fine di mantenere una sanzione dissuasiva ma proporzionata.
Violazioni sanzionate
Inadempienze relative all’eccessiva sorveglianza dei dipendenti
Un guasto relativo all’implementazione del sistema di videosorveglianza
Il sistema di videosorveglianza, composto da due telecamere, catturava costantemente immagini e suoni dei dipendenti presenti nei locali, che fungevano sia da luogo di lavoro che da area relax, con l’obiettivo di prevenire i furti. Queste registrazioni potrebbero essere visualizzate dai supervisori in tempo reale tramite un’applicazione mobile .
La società non ha giustificato alcuna circostanza eccezionale relativa alla cattura continua di suoni e immagini tramite il sistema video. Tali azioni costituiscono una violazione eccessiva dei diritti dei dipendenti e sono pertanto contrarie al principio di minimizzazione dei dati (articolo 5.1.c del GDPR).
Mancata implementazione del software di monitoraggio delle postazioni di lavoro
L’azienda ha affermato che stava implementando un software per monitorare l’attività dei propri dipendenti, allo scopo di misurare da un lato il loro tempo di lavoro e dall’altro la loro produttività.
Per quanto riguarda la misurazione del tempo di lavoro, oltre al conteggio delle ore lavorative, l’azienda aveva configurato il software in modo da poter misurare nominativamente i tempi che considerava come tempi di “inattività” per i dipendenti.
Il software rilevava automaticamente, durante il giorno, se il dipendente non digitava sulla tastiera o non muoveva il mouse per un periodo di tempo stabilito, da 3 a 15 minuti. Tali periodi di “inattività” registrati, se non giustificati dai dipendenti o recuperati, potrebbero essere oggetto di una trattenuta sullo stipendio da parte dell’azienda.
Tuttavia, i periodi in cui il dipendente non utilizza il computer possono anche corrispondere all’effettivo orario di lavoro nell’ambito delle sue mansioni (ad esempio riunioni o telefonate). Un dispositivo del genere non consente un conteggio affidabile delle ore di lavoro, contrariamente allo scopo per cui è stato progettato. Inoltre, la violazione dei diritti dei dipendenti causata dal sistema così configurato era, in ogni caso, sproporzionata. Pertanto, tali trattamenti non hanno alcuna base giuridica .
Per quanto riguarda la misurazione delle performance dei dipendenti, il software ha permesso, sulla base di un elenco di siti web e programmi precedentemente identificati e configurati dall’azienda come “produttivi” o meno, di determinare il tempo trascorso sui siti web ritenuti non produttivi durante l’orario di lavoro.
Inoltre, il software è stato configurato dall’azienda per effettuare regolarmente delle catture dello schermo (“ screencast ”) dei computer dei dipendenti, con una frequenza determinata individualmente dall’azienda, compresa tra 3 e 15 minuti.
Questo dispositivo, così come configurato, costituisce una sorveglianza particolarmente invasiva, soprattutto perché può portare alla cattura di elementi privati (ad esempio e-mail personali, conversazioni di messaggistica istantanea o password riservate). Tale sistema costituisce pertanto una violazione sproporzionata della privacy, degli interessi e dei diritti fondamentali dei dipendenti e non ha alcuna base giuridica (articolo 6 del GDPR).
Inosservanza dell’obbligo di informazione degli interessati (artt. 12 e 13 GDPR)
Per quanto riguarda le informazioni scritte dei dipendenti, né i documenti informativi interni dell’azienda né i contratti di lavoro e di studio dei dipendenti fornivano sufficienti informazioni scritte in merito al trattamento attuato dal software di monitoraggio delle postazioni di lavoro, il che costituisce una violazione dell’articolo 13 del GDPR.
Per colmare queste lacune, l’azienda ha proposto l’informazione orale ai dipendenti. Tuttavia, in assenza di conservazione da parte della società di una traccia scritta di ciò, la completezza delle informazioni non è accertata. In ogni caso, tali informazioni orali non soddisfano, per loro natura, le condizioni di accessibilità nel tempo previste dalle disposizioni dell’articolo 12 del GDPR.
Inosservanza dell’obbligo di garantire la sicurezza dei dati (art. 32 GDPR)
L’azienda ha consentito l’accesso condiviso a un account amministratore per visualizzare i dati dal software di monitoraggio delle workstation. Tuttavia, solo gli account individuali consentono una buona tracciabilità degli accessi e delle azioni eseguite sul sistema, in particolare durante le indagini in caso di incidente di sicurezza o violazione dei dati.
Questa esigenza di personalizzazione è ancora più importante quando si tratta di account amministratore, che dispongono di diritti molto ampi sui dati personali elaborati dal sistema e sono quindi obiettivi privilegiati per gli attacchi informatici. Si è pertanto configurata una violazione dell’articolo 32 del GDPR.
Mancato rispetto dell’obbligo di effettuare una DPIA (articolo 35 del GDPR)
La società non ha effettuato una valutazione d’impatto sulla protezione dei dati (DPIA) per i trattamenti implementati tramite il software di monitoraggio delle postazioni di lavoro, che tuttavia consente, secondo i parametri definiti dalla società, un monitoraggio sistematico dei propri dipendenti e che pertanto è suscettibile di generare un rischio elevato per i loro diritti e le loro libertà. Per queste ragioni è stato necessario effettuare un AIPD prima di implementare questi trattamenti tramite questo software.