I dipendenti vanno sempre informati in maniera esatta sui sistemi aziendali che l’azienda impiega per la raccolta delle loro informazioni personali.
E’ questo quanto ha ribadito il Garante per la protezione dei dati personali in un provvedimento sanzionatorio emesso lo scorso mese di Aprile [doc. web n. 9586936] a carico di un’azienda manifatturiera, la quale utilizzava un sistema informatico con cui effettuava trattamenti di dati personali dei lavoratori ulteriori rispetto a quelli comunicati e autorizzati dall’Ispettorato del lavoro.
Il reclamo è giunto al Garante per il tramite di un sindacato e l’Autorità, dopo aver effettuato un’adeguata istruttoria, ha comminato alla società una sanzione di 40mila euro.
Vediamo come operava questo sistema informatico e quali operazioni sono state contestate all'azienda sanzionata per evitare di incappare in simili situazioni.
In pratica, il sistema aziendale chiedeva al dipendente di inserire una password sulla propria postazione di lavoro prima di iniziare il turno di produzione, raccogliendo informazioni in chiaro (e dunque disaggregate) e per finalità che non erano state dichiarate nell’informativa resa ai lavoratori.
L’azienda, nei suoi scritti difensivi, ha dichiarato che le finalità del trattamento di tali dati erano da ricollegarsi alla prevenzione dei furti; prevenzione di accesso non autorizzato a dati di produzione confidenziali; recupero/aumento dei livelli di produttività; tutela della salute e della sicurezza del lavoratore; finalità organizzative, tecniche e produttive, e che i dati raccolti venivano pseudonimizzati.
Il datore di lavoro, tuttavia, combinando tali informazioni con altre in suo possesso, era in grado di risalire ai dati sulla produzione e sui fermi macchina collegati al singolo dipendente, informazioni che l’impresa utilizzava per finalità altre, anche di natura disciplinare (ossia per verificare “il grado di diligenza prestata dal lavoratore”), rispetto a quelle autorizzate dall’Ispettorato del lavoro; fatto questo confermato peraltro dal direttore delle risorse umane nell’ambito di un procedimento disciplinare avviato nei suoi confronti. Tanto che era stata formulata una contestazione disciplinare nei confronti di un dipendente, in quanto dai rilievi effettuati sarebbe risultato il suo allontanamento dalla postazione, sebbene, l’azienda sostenesse che tale condotta fosse stata appurata de visu dai superiori e non per il tramite del sistema informatico, che raccoglieva peraltro i log di accesso (autenticazione) al sistema e diversi registri su guasti, interventi di manutenzione e altre informazioni che, sebbene fossero riferiti ai dati della macchina consentivano, di fatto, di risalire al singolo dipendente che vi operava; venivano violati altresì i tempi di conservazione di tali informazioni.
Oltre ai dati raccolti con il sistema informatico, l’azienda continuava poi a conservare, mediante apposito software, i moduli riferiti al precedente metodo di rilievo della produzione compilato manualmente attraverso form cartacei, riportanti i dati anagrafici dei lavoratori in chiaro.
Nell’informativa fornita ai dipendenti, tali ulteriori trattamenti di dati personali e le caratteristiche significative del modo in cui veniva effettuata la raccolta delle informazioni sui dipendenti tramite il sistema informatico, non risultavano essere stati dichiarati.
L’informativa si limitava a menzionare cinque macro categorie di informazioni, inidonee, secondo il Garante, a rappresentare gli specifici trattamenti effettuati, riferiti ad informazioni la cui conservazione, come sopra rilevato, veniva eseguita con modalità che consentivano la riconducibilità all’interessato.
Il Garante, nel suo provvedimento, ha ricordato che l’omessa informazione agli interessati circa caratteristiche significative di un sistema informatico che tratta informazioni di lavoratori risulta in violazione dell'art. 13 del Regolamento n. 679/2016, in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza (art. 5, par. 1, lett. a) del Regolamento). Nell'ambito del rapporto di lavoro, l'obbligo di informare il lavoratore è altresì espressione del principio generale di correttezza di cui all’art. 5 par. 1 lett. a) del medesimo Regolamento.
Per quanto riguarda la contestazione riferita alla violazione del periodo di conservazione dei dati personali, l’azienda riteneva di non aver effettuato alcuna inosservanza in quanto la raccolta delle informazioni effettuata tramite il sistema, non sarebbe soggetta ad alcun termine, trattandosi di informazioni “aggregate” (non riconducibili ad interessati identificati) e “pseudonimizzate” (riconducibili ad interessati identificati mediante l’utilizzo di informazioni aggiuntive).
Tuttavia, il Garante ha sottolineato che i dati in questione erano pseudonimizzati e non aggregati; informazioni che, dunque, attraverso la combinazione con altre contenute nel sistema, consentivano ancora di risalire all’identità dell’interessato e, in tal caso, il titolare del trattamento è tenuto a conservare i dati in una forma che permetta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati (v. art. 5, par. 1, lett. e) del Regolamento).
Pure con riferimento al periodo di conservazione, l’informativa era risultata inidonea, in quanto non riportava alcun termine specifico di conservazione dei dati, ma si limitava a precisare che “i dati raccolti verranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […] e/o in base alle scadenze previste dalle norme di legge […]”.
Anche sotto tale aspetto, l’Autorità ha ritenuto che l’azienda avesse violato il principio di correttezza e trasparenza del trattamento dei dati personali (art. 5, par. 1, lett. a) del Regolamento) nonché l’obbligo di fornire agli interessati determinate informazioni relative alle caratteristiche principali del trattamento, compresi i tempi di conservazione (art. 13, par. 2, lett. a) del Regolamento).
Infine, le finalità di trattamento che l’azienda aveva dichiarato di perseguire nell’informativa, non riportavano poi la specifica e distinta base giuridica del trattamento, secondo quanto invece impone l’art. 13, par. 1, lett. c) del Regolamento, mentre alcune delle finalità dichiarate, non erano poi riconducibili a quelle prese in considerazione nella autorizzazione concessa dall’Ispettorato Territoriale del Lavoro, secondo cui peraltro la società non avrebbe potuto, in nessun caso, utilizzare i dati registrati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari.
Il trattamento effettuato dalla società tramite il sistema informatico suddescritto è quindi risultato illecito per violazione degli artt. 5, par. 1, lett. a) e e), 13 e 88 del Regolamento e dell’art. 114 del Codice Privacy.
Oltre alla sanzione di 40 mila euro, il Garante ha ingiunto alla società di adottare misure di segregazione dei dati raccolti attraverso i form cartacei e conservati sia in un archivio cartaceo sia attraverso l’utilizzo di un software; di adeguare ai principi del Regolamento la propria informativa e di non utilizzare i dati sinora raccolti illecitamente.
L'informativa al dipendente va dunque resa in maniera puntuale e precisa, con particolare riferimento ai dati trattati mediante software e sistemi informatici, per il quale trattamento vanno riportate in dettaglio le finalità, che se eterogene devono essere accuratamente distinte e separate, puntualizzando i tipi di dati trattati, il periodo di conservazione degli stessi, indicando le basi giuridiche del trattamento e descrivendo le caratteristiche significative del sistema informatico o software in uso rispetto al modo in cui lo stesso compie il trattamento medesimo.
Tutto quanto indicato nell'informativa deve poi corrispondere a ciò che effettivamente e nel concreto accade nel rispetto del principio di trasparenza e del dovere di accountability di cui al Regolamento n. 679/2016.