Il 20 maggio 2021 l’Autorità italiana per la protezione dei dati personali ha comunicato di aver multato un’azienda per trattamento illecito di dati personali dei dipendenti con riferimento all’utilizzo un sistema per il trattamento e il monitoraggio dei dati personali dei dipendenti in modo difforme rispetto all’autorizzazione disposta dall’ITL.
L’istruttoria nasce da un reclamo delle rappresentanze sindacali territorialmente competenti, effettuato su mandato di lavoratori dell’azienda, che lamentava presunte violazioni della disciplina posta in materia di protezione dei dati personali in relazione all’utilizzo del sistema informatico di analisi della produttività. In particolare con il reclamo veniva lamentato che la società, in relazione all’attivazione del sistema oggetto di autorizzazione da parte dell’Ispettorato territoriale del lavoro competente, stava “obbligando tutti i lavoratori ad inserire una password individuale sulla postazione di lavoro prima di iniziare la produzione, archiviando i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante le 8 ore lavorative”. Secondo i reclamanti, stante la riferibilità dei dati raccolti ai singoli dipendenti a seguito dell’autenticazione con password, sistema la società avrebbe effettuato trattamenti di dati riferiti all’attività dei dipendenti sulla base di una informativa inidonea a rappresentare le concrete e specifiche finalità e modalità dei trattamenti effettuati.
Con la predetta informativa veniva invece rappresentato che le informazioni “riguardano esclusivamente i dati relativi alla produzione e più specificamente: Avanzamento produttivo; Problemi di sicurezza; Problemi di qualità; Guasti occorsi; Asservimento logistico”. Nell’informativa veniva poi specificato che i dati raccolti con il sistema “non sono visionabili in tempo reale” e “non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”.
Contrariamente a quanto sostenuto dalla società, nel corso del procedimento emergeva che:
- i dati raccolti con il sistema, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare;
- la circostanza era confermata dalla verifica effettuata dal direttore delle risorse umane nell’ambito del procedimento disciplinare avviato nei confronti di un dipendente, all’esito del quale si era proceduto a “verificare i “fermi” della “macchina” alla quale il lavoratore era addetto.
Il Garante, considerate le caratteristiche del sistema, ha quindi ritenuto che l’omessa informazione, o non adeguata informazione, agli interessati circa le specifiche del sistema doveva ritenersi in violazione dell’art. 13 del Regolamento e dell’art. 5, par. 1, lett. a) del Regolamento, in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza (art. 5, par. 1, lett. a) del Regolamento).
Ed ancora, in ordine al periodo di conservazione, il Garante ha ritenuto che la società, partendo dall’erroneo convincimento che i dati fossero aggregati e pseudonimizzati, non prevedeva un limite di tempo.
Pertanto il Garante ha ritenuto che sotto tale profilo il trattamento risultava in violazione del principio di correttezza e trasparenza del trattamento dei dati personali (art. 5, par. 1, lett. a) del Regolamento) nonché in violazione dell’obbligo di fornire agli interessati determinate informazioni relative alle caratteristiche principali del trattamento, compresi i tempi di conservazione (art. 13, par. 2, lett. a) del Regolamento).
Infine il Garante considerava anche che i dati raccolti con il sistema erano stati utilizzati anche al fine di verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato a suo carico e sfociato in un provvedimento disciplinare, ciò non solo contravvenendo a quanto previsto dall’informativa resa ai dipendenti, ma anche contravvenendo all’autorizzazione rilasciata dall’ITL competente. In questo caso il Garante ha ritenuto che il trattamento fosse avvenuto in contrasto con la prescrizione della richiamata autorizzazione e in violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e di quanto previsto dall’art. 88 del Regolamento.
Il Garante, rilevata l’illiceità del trattamento, ha:
- imposto alla società la limitazione definitiva del trattamento dei dati,
- ingiunto di conformare i trattamenti effettuati al Regolamento.
Il Garante, valutata la gravità e la durata della violazione, il dolo e la colpa della violazione, la cooperazione nel procedimento dinanzi all’Autorità (nonostante, durante il procedimento, sia emerso che alcune dichiarazioni rese dalla società fossero contrastanti e non veritiere) e l’assenza di precedenti specifici, ha ingiunto di pagare la somma di euro 40.000,00 a titolo di sanzione amministrativa pecuniaria per le violazioni indicate e disposto la pubblicazione del provvedimento.
Interessante segnalare che l’Autorità in risposta all’eccezione sollevata dalla società di “bis in idem” (decreto di archiviazione del giudice per le indagini preliminari di Isernia adottato in relazione al prospettato reato di cui all’articolo 610 del codice penale, violenza privata, con la seguente motivazione “la notizia di reato non è fondata trattandosi di controversia di natura civilistica – diritto del lavoro)” ha affermato che: “tale accertamento dell’Autorità non costituisce “bis in idem” rispetto alla decisione del giudice penale, come ritenuto dalla società, considerato, in primo luogo, che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Pertanto nel caso di specie non è ipotizzabile che eventuali distinte attività di accertamento abbiano il medesimo destinatario”.