Con un provvedimento emesso il 15 aprile 2021 [n. 9586936], il Garante per la protezione dei dati personali (di seguito il “Garante”) ha sanzionato la società Proma S.S.A s.r.l. per un importo complessivo di € 40.000,00 per non avere informato correttamente i lavoratori in ordine alle caratteristiche del sistema informatico in uso presso l’azienda, con conseguente trattamento illecito dei dati.
Il quadro delineato dall’istruttoria
Con reclamo della Fiom CGIL Molise è stato chiesto al Garante di adottare un provvedimento di accertamento e prescrittivo nei confronti della società Proma S.S.A. S.r.L. (di seguito la “Società” o il “Titolare”), per presunte violazioni della disciplina in materia di protezione dei dati personali con riferimento all’impiego del sistema informatico PPMS (Proma Productivity Management System, di seguito il “Sistema”), oggetto, peraltro, di autorizzazione dell’Ispettorato Territoriale del Lavoro.
L’Ufficio ha appurato che il Sistema – che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione – raccoglieva dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative sottoposte ai dipendenti – tra cui un procedimento disciplinare – e consentiva di identificare i lavoratori attraverso l’incrocio dei dati di postazione con altre informazioni in possesso del datore di lavoro, derivanti dalla compilazione di moduli cartacei in cui era indicato in chiaro il nominativo del dipendente.
Ulteriori profili di violazione sono stati riscontrati nei tempi di conservazione dei dati dei lavoratori: dall’informativa risulta che “I dati raccolti verranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […] e/o in base alle scadenze previste dalle norme di legge […]”, mentre, nel corso dell’istruttoria, è emerso che i dati relativi ai log di autenticazione al sistema nonché le informazioni contenute nei Registri aziendali venivano conservati per due anni, senza che tale precisazione fosse contenuta nell’informativa.
I principi oggetto di violazione
Alla luce di quanto sopra, è di tutta evidenza che la Società abbia posto in essere un trattamento di dati personali sia in violazione del Regolamento UE 2016/679 per la protezione dei dati personali (di seguito anche “GDPR”) – con riferimento ai principi di trasparenza, di limiti alla conservazione dei dati e, conseguentemente, di informativa nei confronti dei soggetti interessati, specie in ordine al trattamento dei dati nei luoghi di lavoro – sia della legge n.300/1970 (di seguito anche “Statuto dei Lavoratori”), per quel che concerne l’impiego di impianti audiovisivi e di altri strumenti di controllo.
La qualificazione giuridica
I dati che la Società ha raccolto non sono “archiviati in forma aggregata”, ma riconducibili ad interessati identificabili, diversamente da quanto indicato nell’informativa; inoltre, sono stati trattati in assenza di misure di segregazione e per un arco di tempo superiore al conseguimento delle finalità, in spregio dei principi generali di trasparenza, di correttezza dei trattamenti e di limitazione della conservazione, come espressamente previsto dagli artt.5 par.1, lett.e) e 13 del GDPR.
Infine, l’utilizzo dei predetti dati nel corso di un procedimento disciplinare fa registrare un’ulteriore grave contravvenzione al combinato disposto degli articoli 114 del Codice di Protezione dei dati personali e 4 dello Statuto dei Lavoratori. L’art.114, infatti, mantiene ferma l’operatività dell’art.4, che subordina all’autorizzazione dell’Ispettorato del Lavoro l’utilizzo di strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori. Tale presupposto è colpevolmente mancante nel caso in esame, pertanto, il trattamento è avvenuto in violazione del principio di liceità, anche in relazione all’art. 88 del GDPR, che consente agli Stati membri di adottare leggi e/o contratti collettivi al fine di conformare il trattamento di dati nell’ambito dei rapporti di lavoro alla tutela dei diritti e delle libertà dei dipendenti.
La necessità di una base giuridica per il trattamento dei dati dei dipendenti
La Società ha posto in essere un tentativo di individuazione di una base giuridica per il trattamento dei dati personali dei lavoratori attraverso una nuova informativa, redatta il 27 febbraio 2020 – che, tuttavia, non risulta ancora consegnata ai dipendenti – in cui distingue: trattamenti effettuati sulla base del legittimo interesse del Titolare; trattamenti effettuati sulla base del contratto di lavoro e trattamenti effettuati sulla base dell’autorizzazione dell’Ispettorato. Nondimeno, ciò non è sufficiente. Come ha precisato il Garante, è possibile effettuare il trattamento di dati personali mediante l’utilizzo di strumenti tecnologici, qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate ed individuate nell’autorizzazione rilasciata dall’autorità pubblica, in assenza di diverso accordo con le rappresentanze sindacali. Tra le predette finalità, non può rientrare né il “legittimo interesse” del Titolare – dal momento che la Società avrebbe dovuto preventivamente effettuare un test comparativo rispetto agli interessi, ai diritti o alle libertà fondamentali dell’interessato, come prescritto dall’art. 6, par. 1., lett. f) del GDPR – né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, data l’assenza di informativa chiara ed esplicita a riguardo.
Le sanzioni inflitte
Il Garante ha, dunque, comminato, non solo la sanzione amministrativa pecuniaria in applicazione dell’art.58, par.2, lett.i) del GDPR, ma ha anche imposto la limitazione definitiva del trattamento dei dati raccolti mediante il sistema e l’ingiunzione della conformità dei trattamenti con la normativa vigente, con la necessaria adozione di misure di segregazione dei dati raccolti attraverso i form cartacei. Ha, inoltre, espressamente intimato alla Società l’individuazione delle finalità in concreto del trattamento secondo quanto concesso dal provvedimento di autorizzazione dell’Ispettorato del Lavoro, salvo l’obbligo di osservanza dei principi di protezione dei dati, come caldeggiato dall’art. 4, comma 3, l. n. 300/1970.
