Con Ordinanza di Ingiunzione del 15 aprile 2021, l’Autorità Garante per la protezione dei dati personali (il ”Garante”) ha sanzionato una società operante nel settore manifatturiero per non aver informato correttamente e puntualmente i lavoratori interessati circa le caratteristiche di un sistema informatico in uso presso la stessa. Così facendo, la società ha trattato illecitamente i dati dei lavoratori andando oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro territorialmente competente e le finalità indicate nelle informative rilasciate.
Il reclamo e l’attività istruttoria
Il Garante è intervenuto a seguito del reclamo presentato dalla FIOM CGIL, su mandato di alcuni lavoratori, con cui veniva richiesto di adottare un provvedimento di accertamento e prescrittivo nei confronti della società datrice di lavoro. In particolare, veniva denunciato che il sistema in uso in azienda prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare l’attività che permetteva di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante tutto l’arco della giornata lavorativa. Pertanto, stante la riferibilità dei dati raccolti all’attività dei singoli dipendenti a seguito dell’autenticazione con la password, attraverso tale sistema la società, a parere del sindacato, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle indicate nelle informative rilasciate.
All’esito dell’istruttoria svolta dal Garante è emerso, tra le altre, che il sistema informatico coesisteva con la precedente modalità di organizzazione delle attività di lavoro, basata sulla compilazione di moduli cartacei in cui il nominativo dei dipendenti era indicato in chiaro. I moduli venivano conservati e registrati sul software, ma senza alcuna forma di separazione, contravvenendo in questo modo a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione amministrativa, che avevano vietato espressamente l’utilizzo dei dati raccolti a fini disciplinari. Era, infatti, emerso che i dati raccolti attraverso tale strumento erano stati utilizzati per verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato nei suoi confronti.
E’ emersa, inoltre, la sussistenza di irregolarità nei tempi di conservazione dei dati così raccolti e trattati che, stando a quanto dichiarato dalla società, avrebbero dovuto essere commisurati con quanto necessario per “il monitoraggio/valutazione dei cicli produttivi”.
La decisione del Garante
Alla luce delle informazioni raccolte, il Garante ha disposto la limitazione definitiva dei trattamenti effettuati mediante i dati raccolti attraverso il sistema in uso, ingiungendo la società (i) a conformare la propria organizzazione e i propri trattamenti al Regolamento (UE) 2016/679 anche aggiornando l’informativa da fornire ai dipendenti interessati, (ii) ad adottare adeguate misure di segregazione dei dati raccolti sia attraverso i form cartacei sia attraverso il software oltreché (iii) a pagare la somma di euro 40.000,00 a titolo di sanzione pecuniaria per le violazioni riscontrate.
Altri insights correlati: