Presente nei numeri RGL Giurisprudenza Online:
Notizia precedente:
AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - Provv. 138 del 13 maggio 2021 - Vaccinazioni sui luoghi di lavoro
Notizia successiva:
DECRETO-LEGGE 25 maggio 2021, n. 73. Misure urgenti connesse all'emergenza da COVID-19, per le imprese, il lavoro, i giovani, la salute e i servizi territoriali.
Autorità garante per la protezione dei dati personali
AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – Ordinanza del 15 aprile 2021 – Sistemi di trattamento dati e riservatezza
Data:
Tipologia: ordinanza
Commento:

AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – Ordinanza del 15 aprile 2021 – Obbligo di corretta informativa ai dipendenti sui sistemi aziendali in uso
ARTT. 5, par. 1, lett. a) e), 13, 58, par. 2, 83, parr. 1 e 2, lett. a), 88 del Regolamento (UE) 2016/679 del 27 aprile 2016 e ARTT. 114 del Decreto Legislativo 30 giugno 2003 n. 196

Il Garante ha ordinato ad una società manifatturiera di non utilizzare i dati dei dipendenti trattati illecitamente, di modificare le informative rese ai lavoratori con contestuale ingiunzione al pagamento di una sanzione amministrativa di 40 mila euro in relazione alle violazioni commesse. Il Garante, intervenuto a seguito del reclamo di un sindacato, all’esito della fase istruttoria, ha appurato che, contrariamente a quanto sostenuto dalla società, il sistema informatico adottato, che prevede l’inserimento di un password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative consegnate ai lavoratori. Nello specifico, nel merito è emerso che i dati raccolti con il sistema sono riconducibili ad interessi identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’informativa sul sistema laddove è indicato che i dati relativi alla produzione sono raccolti ed archiviati in forma aggregata. Ciò è dovuto alla circostanza che i dati raccolti con il sistema, oltre a quelli relativi alla produzione, sono riferiti anche alle seguenti informazioni: log di accesso al sistema, registro conferma check list condizioni sicure avvio turno, registro formazione continua sui problemi di qualità di OPL di inizio turno, registro interventi di manutenzione e analisi del guasto, registro proposte di miglioramento. Tale ulteriore tipologia di dati organizzata in registri non è menzionata né nell’informativa relativa all’uso del sistema né nell’informativa di carattere generale rilasciata ai sensi dell’art. 13 del GDPR. Inoltre, è emerso dall’istruttoria che ai dipendenti non è stata fornita nemmeno la specifica informazione relativa ai tempi di conservazione dei dati: infatti i dati raccolti e archiviati sono riconducibili al dipendente per un periodo di due anni. Infine, è emerso che tali dati sono stati utilizzati al fine di verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato a suo carico, al fine dell’irrogazione di una sanzione disciplinare, in violazione di quanto disposto dall’art. 114 del Codice della Privacy e dall’art. 4 della legge n. 300 del 1970 (Statuto dei Lavoratori).