Privacy Policy & Cookies
Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente . Utilizzando il nostro sito l'utente acconsente a tutti i cookie in conformità con la Normativa sui Cookie.
Leggi tutto Accetta
×
Home / News / Blog / 2021 / 5 / 25 / Sistemi informatici interni e informative non veri...

Sistemi informatici interni e informative non veritiere ai lavoratori: nuova sanzione del Garante

25 Maggio 2021

Il caso: il datore di lavoro aveva introdotto un sistema informatico, appositamente autorizzato dall’Ispettorato territoriale, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, con lo scopo di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante le 8 ore lavorative.
A seguito del reclamo a firma di un sindacato, l'Autorità Garante per la protezione dei dati personali ha attivato un’istruttoria che ha consentito di appurare che la società non aveva informato correttamente i lavoratori delle caratteristiche del sistema informatico adottato, peraltro utilizzando i dati in questione a sostegno di un procedimento disciplinare nei confronti di un lavoratore.

In particolare, l’Autorità ha constatato che – a differenza di quanto sostenuto dalla società – l'inserimento della password individuale sulla postazione di lavoro:
-         raccoglieva anche dati disaggregati, cioè riconducibili ad interessati identificati o identificabili attraverso l'utilizzo di ulteriori informazioni nella disponibilità del titolare (datore di lavoro);
-         perseguiva finalità ulteriori rispetto a quelle dichiarate nelle informative ai lavoratori ed autorizzate dall’Ispettorato.
Inoltre, i rilievi istruttori del Garante hanno consentito di scoprire che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti era indicato in chiaro. Tali moduli, poi, venivano conservati e registrati su un apposito software, ma senza alcuna separazione (segregazione della relativa base di dati).
In questo modo, la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall'Ispettorato, che vietavano espressamente l'utilizzo dei dati raccolti a fini disciplinari.

L’omessa informazione agli interessati circa tale significativa caratteristica del sistema – spiega l'Autorità – risulta in violazione dell'art. 13 del Regolamento Ue n. 2016/679 (cd. GDPR), in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza (art. 5, par. 1, lett. a, GDPR). Nell'ambito del rapporto di lavoro, poi, l'obbligo di informare il dipendente è inoltre espressione del principio generale di correttezza dei trattamenti (art. cit.).
Peraltro, l’attività istruttoria dell'Autorità ha consentito di scoprire che il sistema informatico raccoglieva non solo i dati prettamente relativi alla produzione (numero di pezzi prodotti), ma anche dati ulteriori (es. log di accesso e autenticazione al sistema) e che tale ulteriore tipologia di dati, organizzata in registri, non era menzionata nella predetta informativa ai lavoratori relativa all’uso del sistema informatico, né nell’informativa di carattere generale consegnata ai dipendenti
Anche sotto tale profilo, dunque, i trattamenti sono stati effettuati in violazione del GDPR.

Quanto alla durata di conservazione dei dati, partendo dall’erroneo presupposto di trattare dati “aggregati”, la società ha dapprima dichiarato di non avere previsto limiti ai tempi di archiviazione, salvo poi ammettere che i “dati ulteriori” individuati dall’esame del Garante erano conservati per un periodo di 2 anni dalla data di acquisizione.
Ebbene, anche sotto questo aspetto, l’Autorità ha individuato una violazione della normativa in materia di protezione dei dati personali, tenuto conto che la specifica informazione relativa ai tempi di conservazione non risulta essere stata fornita ai dipendenti, né la società è stata in grado di dimostrare la data in cui è stata effettivamente introdotta la limitazione della memorizzazione a 2 anni.

Ancora, è emerso che il datore di lavoro aveva indicato nell’informativa rivolta ai lavoratori una pluralità di finalità del trattamento tra loro eterogenee, senza tuttavia indicare contestualmente la specifica e distinta base giuridica del trattamento, così contravvenendo al dettato dell’art. 13 del GDPR.
In ogni caso, l'utilizzo dei dati per l'adozione di un provvedimento disciplinare contrasta sia con quanto indicato nell'informativa relativa al funzionamento del sistema informatico (che chiariva l'inutilizzabilità dei dati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori o per l'adozione di provvedimenti disciplinari), sia con i contenuti dell’autorizzazione rilasciata dall'Ispettorato territoriale del lavoro.

Pertanto, alla luce delle circostanze del caso, l’Autorità Garante ha disposto nei confronti della società la sanzione amministrativa pecuniaria di 40.000 euro, nonché la limitazione definitiva del trattamento dei dati raccolti mediante il sistema informatico con riferimento alle operazioni di conservazione.
Inoltre, il Garante ha ingiunto alla società di conformare al GDPR il modello di informativa relativo al sistema informatico adottato, nonché di adottare misure di segregazione dei dati raccolti attraverso i form cartacei e conservati sia in un archivio cartaceo sia attraverso l’utilizzo di un software.

Helpdesk
email: gdpr33@gdpr33.it
tel: 0692915690