Pubblicata sul sito del Garante per la protezione dei dati personali, nella Newsletter n. 477 del 19 maggio 2021, l’allegata ordinanza di ingiunzione nei confronti di Proma S.S.A. s.r.l. del 15 aprile 2021, con la quale l’Autorità ha dichiarato illecito il trattamento dei dati personali dei dipendenti da parte della società manifatturiera presso cui sono impiegati.

La società ha effettuato operazioni di trattamento di dati personali riferiti ai dipendenti che risultano non conformi alla disciplina in materia di protezione dei dati personali.

L’Autorità, intervenuta a seguito di un reclamo da parte di un sindacato, ha appurato che la società non aveva informato in modo corretto i lavoratori delle caratteristiche del sistema utilizzato, il quale era impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro, e che i dati, raccolti anche disaggregati, erano utilizzati per finalità diverse da quelle dichiarate nelle informative.

L’inserimento di una password individuale consentiva l’identificazione dei singoli lavoratori, attraverso anche l’utilizzo di informazioni ulteriori in possesso del datore di lavoro.

Tali violazioni sono state, inoltre, confermate di fatto nell’ambito di un procedimento disciplinare, in quanto, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina a cui un lavoratore era addetto, i dati raccolti in riferimento al  singolo dipendente sono stati utilizzati per finalità non previste dalle informative e non autorizzate dall’Ispettorato territoriale del lavoro.

L’Autorità ha anche accertato la coesistenza del sistema informatico con il precedente sistema di moduli cartacei, nei quali il nome dei lavoratori è indicato in modo chiaro. Tali documenti venivano, inoltre, conservati e registrati su apposito software senza l’adozione di misure di segregazione della relativa base di dati e, contrariamente a quanto indicato nelle informative, sono stati utilizzati a fini disciplinari.

Sono state riscontrate irregolarità anche per ciò che concerne i tempi di conservazione dei dati dei lavoratori.

Il Garante ha, quindi, ritenuto illecito il trattamento dei dati effettuato e previsto una sanzione di 40.000 euro, ordinando, inoltre, alla società di modificare le informative rese ai dipendenti.

Fonte: ANCE

GarantePrivacy-9586936-1.4