Il Garante per la protezione dei dati personali ha sanzionato, con una multa di 40mila euro, una società datrice di lavoro per aver effettuato operazioni di trattamento di dati personali riferiti ai dipendenti non conformi alla disciplina in materia di protezione dei dati personali.
Questo in considerazione dell’impiego di un sistema informatico di trattamento dei dati dei lavoratori risultato illecito.
Nel corso del procedimento attivato davanti all’Autority, a seguito di reclamo presentato da un sindacato, era emerso che i dati raccolti con il predetto sistema, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare.
Il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle invece dichiarate nelle informative relative all’apparato.
La possibilità di accesso a dati specifici relativi all’attività lavorativa svolta dal singolo dipendente attraverso il sistema era stata, inoltre, confermata nell’ambito del procedimento disciplinare avviato nei confronti di un lavoratore, a seguito della verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il prestatore era addetto.
Da quanto emerso, i dati del singolo dipendente erano stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato del lavoro.
A seguito degli accertamenti del Garante Privacy, era anche risultato che, accanto al sistema in oggetto, coesisteva il pregresso apparato basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente era indicato in chiaro.
Tali moduli erano archiviati e registrati su apposito software senza che risultassero adottate misure di segregazione della relativa base di dati, tanto che le informazioni in essi contenute erano state utilizzate nell’ambito del procedimento disciplinare.
Infine, erano state rilevate alcune irregolarità anche per quel che riguardava i tempi di conservazione dei dati dei lavoratori.
L’omessa informazione agli interessati circa le significative caratteristiche del sistema risultava porsi in violazione dell'art. 13 del Regolamento, in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza.
L'Autorità Garante, in definitiva, considerando illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ingiungendole anche il pagamento della sanzione amministrativa pecuniaria.
La notizia del provvedimento – ordinanza ingiunzione n. 136 del 15 aprile 2021 - è stata diffusa nella newsletter del Garante n. 477 del 19 maggio 2021.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".