Privacy e dati dei dipendenti: maxisanzione per informativa inadeguata

Il Garante per la privacy ha comminato a un datore di lavoro una sanzione molto cospicua (40 mila euro) per la violazione del regolamento sul trattamento dei dati dei dipendenti. In particolare è stato accertato  l'utilizzo di   un programma informatico che registrava l'attività dei macchinari collegata ai nominativi dei lavoratori  in maniera difforme da quanto dichiarato nell'informativa ai gli stessi dipendenti . 

Il provvedimento è stato pubblicato con ordinanza del 15 aprile 2021 QUI IL TESTO  e ne è stata data notizia nella newsletter del Garante del 17 maggio 2021.

Il caso era stato sollevato dalla rappresentanza sindacale che  riportava all'autorità Garante l'utilizzo di un sistema informativo che identificava i lavoratori che avevano accesso alle strumentazioni di lavoro tramite password individuale,  e che raccoglieva e conservava i dati  sull'attivita e sui tempi di pausa con modalita diverse da quelle dichiarate . 

L' informativa ai lavoratori in data 31 luglio 2018, il giorno precedente l'attivazione  del sistema, dichiarava che le finalita erano :" Avanzamento produttivo; Problemi di sicurezza; Problemi di qualità; Guasti occorsi; Asservimento logistico”. 

La società ha inoltre indicato che tali dati  erano  “raccolti ed archiviati in forma aggregata” ed utilizzati per finalità di sicurezza  e per esigenze organizzative e produttive (indicate quali: “gestione fermo impianti; prevenzione di furti e/o accessi a dati produttivi confidenziali; recupero/aumento dei livelli di produttività; riduzione degli errori e degli sprechi; gestione delle variazioni specifiche dei prodotti e dei flussi di approvvigionamento”. Nell’informativa era inoltre specificato che i dati raccolti con il sistema “non sono visionabili in tempo reale” e “non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari” 

Dalla documentazione acquisita,  il Garante ha giudicato fondato il  reclamo .

Infatti  è stato accertato che :

• i dati raccolti con il sistema, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’informativa
•  seppure i turni di lavoro non indicassero la postazione occupata, dall’analisi dell’elenco delle postazioni fornito dalla società emerge che nella gran parte dei casi queste sono occupate da un solo lavoratore 
•  i dati specifici relativi all’attività lavorativa svolta dal singolo dipendente erano accessibili attraverso l’accesso al sistema , fatto confermato  nell’ambito del procedimento disciplinare avviato nei confronti di un dipendente  che aveva potuto  a “verificare i “fermi” della “macchina” alla quale il lavoratore era addetto
• inoltre il sistema PPMS coesiste con  il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente è indicato in chiaro; tali moduli sono archiviati e registrati su apposito software senza che risultino adottate misure di segregazione della relativa base di dati (peraltro è risultato che anche tali dati sono stati utilizzati nel sopra menzionato procedimento disciplinare)

Diversamente da quanto sostenuto dalla società l’informativa relativa al sistema  dunque  ha indicato cinque macro categorie di informazioni inidonee a rappresentare gli specifici trattamenti effettuati, riferiti ad informazioni la cui conservazione, come sopra rilevato, è effettuata con modalità che consentono la riconducibilità all’interessato. Anche sotto tale profilo pertanto i trattamenti sono stati effettuati in violazione dell'art. 13 e dell'art. 5, par. 1, lett. a) del Regolamento.

Infine irregolarità  erano state accertate anche in riferimento alla  tempistica di conservazione dei dati  .

Per tutte queste ragioni il Garante ha  ritenuto illecito il trattamento effettuato, ordinando di adeguare le modificare le informative per i lavoratori con il dettaglio di tutte  le caratteristiche del sistema informatizzato e ha  ingiunto il pagamento della sanzione amministrativa .