Questa vicenda trae origine dal reclamo presentato da un sindacato, su mandato di undici lavoratori che lamentavano la violazione dei propri dati personali. L’Azienda aveva infatti integrato un sistema informatico in grado di rilevare l’operatività (ad esempio stato di attività/inattività) della macchina in uso all’operatore. Il sistema veniva utilizzato dall’azienda per ragioni di sicurezza sul lavoro, tutela del patrimonio aziendale e motivi organizzativi.
A sua difesa, l’Azienda ha rappresentato che:
- affinchè la macchina fosse utilizzabile solo da personale autorizzato, gli operatori erano tenuti ad inserire la propria password nel sistema;
- i dati raccolti durante la sessione di lavoro non erano in ogni caso connessi all’operatore, ma alla macchina.
L’Azienda ha inoltre fornito un’informativa ove veniva specificato che i dati raccolti con il sistema non erano visionabili in tempo reale e non venivano in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari. È bene specificare che, in base alla prescrizione dell’Ispettorato Territoriale del Lavoro, la società non avrebbe potuto utilizzare il sistema Proma Productivity Management System (“PPMS”) ai fini del controllo in via preventiva delle attività lavorative dei dipendenti.
Tuttavia, nel corso di un procedimento disciplinare a carico di un dipendente, il responsabile delle risorse umane, in adempimento agli obblighi di legge, al fine di confermare le giustificazioni rese dal lavoratore e non ai fini della contestazione, confrontava quanto da lui affermato proprio con i dati forniti dal sistema di PPMS.
Dall’istruttoria svolta dall’Autorità è allora emerso che:
- i dati raccolti con il sistema, anche quelli riferiti alla produzione, sono riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni disponibili al titolare: in primo luogo, i log di accesso conservati dal sistema e i registri di sicurezza e qualità, nonché le proposte di miglioramento e gli interventi di manutenzione (provenienti dal singolo operatore). Inoltre, seppur dai turni di lavoro non emerge la postazione lavorativa occupata dal dipendente, è comunque possibile risalirvi in quanto, nella gran parte dei casi, le postazioni sono occupate sempre da un solo lavoratore;
- il fatto che i dati del PPMS non siano stati utilizzati per elevare la contestazione disciplinare, ma per avvalorare le giustificazioni del dipendente, conferma in ogni caso che i dati raccolti con il sistema ed ivi conservati sono stati in concreto utilizzati per l’adozione di un provvedimento disciplinare;
- l’informativa risulta carente dei requisiti di legge, in quanto priva di specifiche informazioni sulle caratteristiche del sistema e sulle finalità dell’utilizzo delle informazioni, oltre che sui tempi di conservazione dei dati.
LA SANZIONE
La sanzione comminata ammonta a € 40.000, tenuto conto che:
- È stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento;
- le violazioni hanno anche riguardato le condizioni di liceità del trattamento (disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro) e le disposizioni sull’informativa;
- la violazione ha riguardato un numero significativo di interessati;
- è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;
- La società ha cooperato con l’Autorità nel corso del procedimento;
- L’azienda non aveva precedenti.