Ordinanza Ingiunzione del Garante Privacy per il trattamento di dati personali attraverso un sistema informatico non conforme all’informativa ex art 13 del GDPR

In data 15 aprile 2021, l’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”), al termine di un procedimento istruttorio condotto dalla stessa, ha emesso un’ordinanza ingiunzione nei confronti della Società Proma S.S.A. S.r.l. (la “Società”) a fronte di un reclamo presentato da Fiom Cgil Molise, su mandato di undici lavoratori dipendenti, nel quale venivano lamentate presunte violazioni della normativa in materia di protezione dei dati personali nell’ambito dell’utilizzo del sistema informatico PPMS (Proma Productivity Management System) da parte della Società (il “Sistema Informatico”).

I fatti contestati

Come rappresentato nel reclamo, attraverso l’utilizzo del Sistema Informatico – oggetto di autorizzazione da parte dell’Ispettorato territoriale del lavoro (“ITL”) di Campobasso-Isernia – veniva lamentato che la Società obbligasse “tutti i lavoratori ad inserire una password individuale sulla postazione di lavoro prima di iniziare la produzione, archiviando i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante le 8 ore lavorative”. Pertanto, stante la riferibilità dei dati ai singoli dipendenti seguito dell’autenticazione con password, attraverso il Sistema Informatico la Società effettuava trattamenti sulla base di un’informativa (l’”Informativa”) resa ex art. 13 del Regolamento UE 2016/679 (“GDPR”) ritenuta “inidonea a rappresentare le concrete e specifiche finalità e modalità” dei trattamenti stessi.

La Società, in risposta alla richiesta di chiarimenti dell’Autorità, si difendeva precisando, inter alia, che:

1. non era possibile conoscere, attraverso i dati aggregati e pseudonimizzati forniti dal Sistema Informatico, in via diretta e in tempo reale, l’operatore presente nella postazione, in quanto i dati erano relativi alla produzione;
2. il dato riferito al singolo lavoratore (tramite log-in) non risultava visibile/accessibile ai soggetti indicati nella informativa e autorizzati al controllo del Sistema Informatico;
3. conformemente all’Informativa e all’autorizzazione del ITL, nessuna informazione trattata e archiviata sulla base del Sistema Informatico era mai utilizzata ai fini di presunti controlli “del grado di diligenza prestata” dal lavoratore; e
4. le finalità del trattamento individuate nell’informativa erano: (a) prevenzione dei furti; (b) prevenzione di accesso non autorizzato a dati di produzione confidenziali; (c) recupero/aumento dei livelli di produttività; (d) tutela della salute e della sicurezza del lavoratore; (e) finalità organizzative, tecniche e produttive.

Il procedimento dinnanzi all’Autorità si instaurava a seguito dell’impugnazione di una contestazione disciplinare, avvenuta nel giugno 2018, da parte della Società nei confronti di un lavoratore che si era ingiustificatamente allontanato dalla postazione di lavoro. Tale assenza, rilevata dai superiori gerarchici de visu, era stata successivamente confermata attraverso l’analisi dei dati del Sistema Informatico: accedendo allo stesso, per il tramite di username e password personale, il personale autorizzato aveva infatti proceduto a verificare i “fermi” della “macchina” alla quale il lavoratore era addetto.

Esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, il reclamo risultava fondato per alcuni profili, in quanto la Società, in qualità di titolare, aveva effettuato operazioni di trattamento di dati personali riferiti ai dipendenti che risultavano non conformi alla disciplina in materia di protezione dei dati personali.

L’Autorità ha in particolare rilevato che:

1. i dati raccolti con il Sistema Informatico, anche quelli riferiti alla produzione, erano riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’Informativa relativa al Sistema Informatico, laddove veniva indicato che i dati relativi alla produzione erano “archiviati in forma aggregata” (circostanza confermata anche nell’ambito del procedimento disciplinare instauratosi nel 2018);
2. coesisteva, con il Sistema Informatico, il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente era indicato in chiaro; tali moduli erano archiviati e registrati su apposito software senza che risultassero adottate misure di segregazione della relativa base di dati. Infatti, come indicato nell’ordinanza, “l’omessa informazione agli interessati circa tale significativa caratteristica del sistema risulta in violazione dell'art. 13 del GDPR, in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza (art. 5, par. 1, lett. a) del GDPR). Nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell'art. 5, par. 1, lett. a) del GDPR”;
3. i dati raccolti con il Sistema Informatico erano riferiti anche ad ulteriori informazioni quali, inter alia, i log di accesso (di autenticazione) e i dati contenuti in diversi registri adottati dal titolare del trattamento. Tali tipologie di dati non erano menzionate nell’Informativa, la quale risultava così inidonea a rappresentare gli specifici trattamenti effettuati;
4. i dati raccolti e conservati non risultavano aggregati, ma pseudonimizzati, pertanto riconducibili ai dipendenti mediante associazione con altre informazioni disponibili nel sistema. In tal caso, il titolare del trattamento è soggetto all’obbligo di conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati. Inoltre, l’Informativa non forniva dettagli in merito ai tempi di conservazione dei dati personali;
5. l’informativa conteneva il riferimento congiunto a una pluralità di finalità, tra loro eterogenee, perseguite dalla Società nell’ambito dei trattamenti svolti con il Sistema Informativo, senza tuttavia indicare contestualmente la specifica e distinta base giuridica del trattamento, secondo quanto prescritto dall’art. 13, par. 1, lett. c) del GDPR (in particolare, alcune finalità non erano riconducili a quelle prese in considerazione dall’autorizzazione del ITL);
6. i dati raccolti e conservati attraverso il Sistema Informatico erano stati in concreto utilizzati per l’adozione del provvedimento disciplinare del 2018, contravvenendo non solo a quanto indicato nell’Informativa (”i dati raccolti sul [Sistema Informatico] non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”) ma anche nella autorizzazione rilasciata dall’ ITL che aveva, tra l’altro, prescritto alla Società che “i dati registrati non potranno in nessun caso essere utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”.

L’ordinanza richiama l’articolo 114 del d.lgs. 196/2003, come modificato dal D.lgs. 101/2018 (il “Codice Privacy”) ai sensi del quale l’osservanza dell’art 4 della Legge 300/1970 (“Statuto dei Lavoratori”) – che prevede il rilascio della autorizzazione da parte dell’Ispettorato del lavoro in caso di mancato accordo con le rappresentanze dei dipendenti come condizione indefettibile in caso di installazione di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori” – costituisce condizione di liceità dei trattamenti di dati personali. L’art 4 dello Statuto dei Lavoratori è una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del GDPR.

Pertanto il trattamento effettuato dalla Società in contrasto con la prescrizione della richiamata autorizzazione è avvenuto in violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del GDPR o in relazione all’art. 114 del Codice Privacy) e di quanto previsto dall’art. 88 del GDPR.

Conclusioni

Rilevata la violazione degli articoli 5, par.1, lett. a) ed e), 13 e 88 del GDPR e dell’articolo 114 del Codice Privacy, il Garante Privacy ha pertanto disposto l’adozione di misure correttive tra cui: (i) l’adozione di un’informativa conforme al GDPR relativa al trattamento dei dati effettuato attraverso il Sistema Informatico; (ii) l’adozione di misure di segregazione dei dati raccolti attraverso i form cartacei e conservati sia in un archivio cartaceo sia attraverso l’utilizzo di un software.

Oltre alle misure correttive di cui sopra, l’Autorità ha disposto il pagamento di una sanzione pari a Euro 40 mila, considerata dalla stessa adeguata e idonea a punire la condotta illecita della Società, comminata tenendo in considerazione le seguenti circostanze: (i) la natura della violazione che ha riguardato i principi generali del trattamento, le condizioni di liceità dello stesso e le disposizioni sull’informativa; (ii) la negligente condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni; (iii) l’impegno a cooperare da parte della Società; e (iv) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della Società.