Il Garante Privacy ha sanzionato un'azienda per aver fatto operazioni di trattamento di dati personali riferiti ai dipendenti non conformi alla disciplina in materia

Garante privacy, violazioni nei confronti dei dipendenti

[Torna su]

Il datore di lavoro dovrà specificatamene informare i dipendenti su come tratterà i suoi dati. Di conseguenza le lacune informative e i trattamenti non dichiarati in apposite informative rappresentano una violazione della privacy. A chiarirlo è il Garante della privacy, nell'ordinanza ingiunzione n. 136 del 15 aprile 2021 (in allegato). Nel contempo l'azienda colpita ha ricevuto una sanzione di 40 mila euro per aver fatto operazioni di trattamento di dati riferiti ai dipendenti non conformi alla disciplina in materia di protezione dei dati personali.

Trattamento illecito dei dati personali

[Torna su]

Nello specifico, l'Autorità si è attivata dopo un reclamo, ed ha scoperto che i dati raccolti dall'azienda tramite un sistema, compresi quelli che riguardavano la produzione, erano riconducibili ad interessati identificabili grazie l'utilizzo di ulteriori informazioni nella disponibilità del titolare. Si trattava di un sistema che prevedeva l'inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle invece dichiarate nelle informative relative all'apparato. La possibilità di accesso a dati specifici riguardanti l'attività lavorativa del singolo dipendente attraverso il sistema è stata comunque verificata a causa di un procedimento disciplinare avviato nei confronti di un lavoratore, a seguito della verifica effettuata dal direttore delle risorse umane sui "fermi" della macchina alla quale il prestatore era addetto.

Le contestazioni del Garante

[Torna su]

Nel provvedimento, l'autorità ha contestato all'azienda il mancato rispetto dell'obbligo di informazione (articolo 13 del Gdpr, regolamento sulla protezione dei dati). Nel caso di specie, così come emerso, al lavoratore non è stato spiegato, in modo chiaro, come i dati erano raccolti e utilizzati. Da qui ne discende la sanzione. In ogni caso, l'informativa del datore di lavoro rappresenta un atto con cui il datore di lavoro si vincola a non fare i trattamenti diversi da quelli dichiarati.

Non era stata specificata la possibilità di utilizzo per fini disciplinari, così poi com'è stato. Il Garante ha dunque bloccato la possibilità di utilizzare i dati raccolti illecitamente. Ed ancora sul banco degli imputati ci sono i tempi di conservazione dei dati dei lavoratori. Da qui ne discende che il datore di lavoro non deve intendere l'informativa al dipendente come un atto rituale, ma deve dargli il significato di una promessa sulle modalità di trattamento e aggiornarla periodicamente in caso di variazione. In perfetto equilibrio con il comma 3 dell'articolo 4 della legge 300/1970, che subordina al rispetto della privacy la possibilità di usare i dati ai fini del rapporto di lavoro.

Scarica pdf Garante Privacy Ordinanza di ingiunzione n 136 del 21 aprile 2021

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: