Sanzione Del Garante Per La Privacy Per Informativa Inadeguata
Il Garante per la protezione dei dati personali, con provvedimento n.136 del 15 aprile 2021, ha sanzionato un datore di lavoro per trattamento illecito dei dati dei dipendenti e insufficiente informazione preventiva.
In particolare è stato accertato l’utilizzo di un programma informatico che registrava l’attività dei macchinari collegata ai nominativi dei lavoratori in maniera difforme da quanto dichiarato nell’informativa agli stessi dipendenti.
Nello specifico, con il reclamo, è stato lamentato che la società in relazione all’attivazione del sistema PPMS, oggetto di autorizzazione da parte dell’Ispettorato territoriale del lavoro di Campobasso-Isernia in data 9 luglio 2018 ed attivo dal 1° agosto 2018, “sta obbligando tutti i lavoratori ad inserire una password individuale sulla postazione di lavoro prima di iniziare la produzione, archiviando i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante le 8 ore lavorative”. Pertanto, stante la riferibilità dei dati raccolti ai singoli dipendenti a seguito dell’autenticazione con password, attraverso il sistema la società effettuerebbe trattamenti di dati riferiti all’attività dei dipendenti sulla base di una informativa inidonea a rappresentare le concrete e specifiche finalità e modalità dei trattamenti effettuati. Con il reclamo è stato, pertanto, chiesto al Garante di adottare un provvedimento di accertamento e prescrittivo nei confronti della società.
L’ informativa ai lavoratori, il giorno precedente l’attivazione del sistema, dichiarava infatti che le finalità erano:” Avanzamento produttivo; Problemi di sicurezza; Problemi di qualità; Guasti occorsi; Asservimento logistico”.
La società ha inoltre indicato che tali dati erano “raccolti ed archiviati in forma aggregata” ed utilizzati per finalità di sicurezza e per esigenze organizzative e produttive (indicate quali: “gestione fermo impianti; prevenzione di furti e/o accessi a dati produttivi confidenziali; recupero/aumento dei livelli di produttività; riduzione degli errori e degli sprechi; gestione delle variazioni specifiche dei prodotti e dei flussi di approvvigionamento”).
Nell’informativa era inoltre specificato che i dati raccolti con il sistema “non sono visionabili in tempo reale” e “non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”
Il Garante ha ritenuto fondato il reclamo in quanto dalla documentazione acquisita, ha accertato che i dati raccolti con il sistema, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’informativa.
Si specifica inoltre che seppure i turni di lavoro non indicassero la postazione occupata, dall’analisi dell’elenco delle postazioni fornito dalla società emerge che nella gran parte dei casi queste sono occupate da un solo lavoratore. Ancora, i dati specifici relativi all’attività lavorativa svolta dal singolo dipendente erano accessibili attraverso l’accesso al sistema, fatto confermato nell’ambito del procedimento disciplinare avviato nei confronti di un dipendente che aveva potuto verificare i fermi della macchina alla quale il lavoratore era addetto.
Il Garante evidenzia anche che il sistema PPMS coesiste con il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente è indicato in chiaro; tali moduli sono archiviati e registrati su apposito software senza che risultino adottate misure di segregazione della relativa base di dati (peraltro è risultato che anche tali dati sono stati utilizzati nel sopra menzionato procedimento disciplinare)
Diversamente da quanto sostenuto dalla società, l’informativa relativa al sistema, ha indicato cinque macro categorie di informazioni inidonee a rappresentare gli specifici trattamenti effettuati, riferiti ad informazioni la cui conservazione, come sopra rilevato, è effettuata con modalità che consentono la riconducibilità all’interessato. Anche sotto tale profilo pertanto i trattamenti sono stati effettuati in violazione dell’art. 13 e dell’art. 5, par. 1, lett. a) del Regolamento.
Per le irregolarità summenzionate, il Garante ha ritenuto illecito il trattamento effettuato, ordinando di modificare le informative per i lavoratori con il dettaglio di tutte le caratteristiche del sistema informatizzato e ha ingiunto il pagamento della sanzione amministrativa.