Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy.

L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative.

È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto.

….Ciò non solo contravvenendo a quanto indicato nell’informativa relativa al funzionamento del sistema (datata 27.7.2018: ”i dati raccolti sul PPMS non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”) ma anche nella autorizzazione rilasciata dall’Ispettorato territoriale di Campobasso-Isernia in data 9.7.2018 che ha, tra l’altro, prescritto alla società che “i dati registrati non potranno in nessun caso essere utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari” (v. autorizzazione ITL cit., punto 6).

Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

….. È emerso, inoltre, che allo stato coesiste con il sistema PPMS il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente è indicato in chiaro; tali moduli sono archiviati e registrati su apposito software senza che risultino adottate misure di segregazione della relativa base di dati (peraltro è risultato che anche tali dati sono stati utilizzati nel sopra menzionato procedimento disciplinare).

Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.

… In proposito si osserva da un lato, come sopra rilevato, che i dati raccolti e conservati dal sistema non sono “aggregati” in quanto, semmai, pseudonimizzati, pertanto riconducibili ai dipendenti mediante associazione con altre informazioni disponibili nel sistema.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.

(Fonte Garante Privacy)