Il Garante per la privacy ha comminato a un datore di lavoro una sanzione molto cospicua (40 mila euro) per la violazione del regolamento sul trattamento dei dati dei dipendenti. In particolare è stato accertato l’utilizzo di un programma informatico che registrava l’attività dei macchinari collegata ai nominativi dei lavoratori in maniera difforme da quanto dichiarato nell’informativa agli stessi dipendenti .
Il provvedimento è stato pubblicato con ordinanza del 15 aprile 2021 e ne è stata data notizia nella newsletter del Garante del 17 maggio 2021.
Il caso era stato sollevato dalla rappresentanza sindacale che riportava all’autorità Garante l’utilizzo di un sistema informativo che identificava i lavoratori che avevano accesso alle strumentazioni di lavoro tramite password individuale, e che raccoglieva e conservava i dati sull’attività e sui tempi di pausa con modalità diverse da quelle dichiarate.
L’informativa ai lavoratori in data 31 luglio 2018, il giorno precedente l’attivazione del sistema, dichiarava che le finalità erano: “Avanzamento produttivo; Problemi di sicurezza; Problemi di qualità; Guasti occorsi; Asservimento logistico”.
La società ha inoltre indicato che tali dati erano “raccolti ed archiviati in forma aggregata” ed utilizzati per finalità di sicurezza e per esigenze organizzative e produttive (indicate quali: “gestione fermo impianti; prevenzione di furti e/o accessi a dati produttivi confidenziali; recupero/aumento dei livelli di produttività; riduzione degli errori e degli sprechi; gestione delle variazioni specifiche dei prodotti e dei flussi di approvvigionamento)”. Nell’informativa era inoltre specificato che i dati raccolti con il sistema “non sono visionabili in tempo reale” e “non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”.
Dalla documentazione acquisita, il Garante ha giudicato fondato il reclamo.
Infatti è stato accertato che :
• i dati raccolti con il sistema, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’informativa;
• seppure i turni di lavoro non indicassero la postazione occupata, dall’analisi dell’elenco delle postazioni fornito dalla società emerge che nella gran parte dei casi queste sono occupate da un solo lavoratore;
• i dati specifici relativi all’attività lavorativa svolta dal singolo dipendente erano accessibili attraverso l’accesso al sistema, fatto confermato nell’ambito del procedimento disciplinare avviato nei confronti di un dipendente che aveva potuto verificare i “fermi” della “macchina” alla quale il lavoratore era addetto;
• inoltre il sistema PPMS coesiste con il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente è indicato in chiaro; tali moduli sono archiviati e registrati su apposito software senza che risultino adottate misure di segregazione della relativa base di dati (peraltro è risultato che anche tali dati sono stati utilizzati nel sopra menzionato procedimento disciplinare).
Diversamente da quanto sostenuto dalla società l’informativa relativa al sistema dunque ha indicato cinque macro categorie di informazioni inidonee a rappresentare gli specifici trattamenti effettuati, riferiti ad informazioni la cui conservazione, come sopra rilevato, è effettuata con modalità che consentono la riconducibilità all’interessato. Anche sotto tale profilo pertanto i trattamenti sono stati effettuati in violazione dell’art. 13 e dell’art. 5, par. 1, lett. a) del Regolamento.
Infine irregolarità erano state accertate anche in riferimento alla tempistica di conservazione dei dati.
Per tutte queste ragioni il Garante ha ritenuto illecito il trattamento effettuato, ordinando di adeguare e modificare le informative per i lavoratori, con il dettaglio di tutte le caratteristiche del sistema informatizzato e ha ingiunto il pagamento della sanzione amministrativa.
Alpe Adria Imprese
Via degli Alpini, 15
31046 Oderzo (TV) - Italia
Tel.0422815544
info@alpeadriaimprese.it
Segnalazione illeciti - Whistleblowing
