Il trattamento dei dati e il controllo dei lavoratori è stato spesso nel mirino del Garante per la protezione dei dati personali e un recente provvedimento dell’Autorità offre un interessante spunto di analisi per tutti i datori di lavoro e titolari del trattamento. È fondamentale che l’informativa sul trattamento dei dati sia chiara e aggiornata e che le basi giuridiche di tale trattamento siano solide.
Nel caso in dettaglio le verifiche attuate dall’Autorità sulla privacy hanno rilevato diverse non conformità nel trattamento dei dati dei dipendenti da parte di una società manifatturiera. Queste irregolarità hanno portato alla comminazione di una sanzione di importo pari a 40.000 euro. La notizia è stata messa in evidenza dall’Autorità nella propria newsletter dello scorso 19 maggio. Nell’apposita sezione dedicata a provvedimenti e attività del Garante è invece disponibile il testo integrale della decisione. Vediamo che cosa è accaduto, dalle contestazioni dei dipendenti e dei sindacati alla difesa dell’azienda fino alla decisione dell’Autorità.
Il reclamo dei sindacati e l’attività di indagine dell’Autorità
La segnalazione che ha portato all’avvio dell’istruttoria da parte dell’Autorità Garante è stata condivisa da un sindacato, mobilitato dagli stessi dipendenti della società che lamentavano la violazione da parte del datore di lavoro della normativa in materia di protezione dei dati personali.
In particolare, l’obbligo di inserimento di una password individuale sulla postazione di lavoro prima di avviare la produzione risultava ad avviso dei lavoratori finalizzato a monitorare la produttività di ciascun interessato per tutta la durata del turno. L’informativa sul trattamento condivisa dalla società, datata e incompleta, era ritenuta inidonea a svolgere la funzione cui la stessa è preposta dalla normativa.
La replica della società: dati aggregati
In propria difesa la società replicava che il sistema utilizzato era in grado di fornire esclusivamente dati aggregati relativi alla produzione (più specificamente, il numero dei pezzi prodotti), individuati per macchina e per fascia oraria, e non per operatore, affermazione contestata in seguito dai reclamanti.
Il programma utilizzato, secondo quanto sostenuto dal datore di lavoro, era in grado di registrare gli eventi sospensivi della produzione, ma non le causali degli stessi, disponibili solo in caso di inserimento da parte dell’operatore.
Inoltre i dati dei log non risultavano accessibili ai soggetti incaricati del controllo del sistema di produzione e pertanto non venivano in alcun modo utilizzati per finalità di verifica della produttività personale degli operai; il solo fine del log era infatti assicurare che i macchinari fossero utilizzati esclusivamente da personale autorizzato ed adeguatamente informato. Il sistema era stato peraltro oggetto di apposito accordo sindacale, circostanza che, ad avviso del titolare-datore di lavoro, ne confermava la legittimità.
Un ulteriore elemento portato all’attenzione dell’Autorità dai sindacati consisteva in una sanzione disciplinare, risalente all’ottobre 2018, sollevata nei confronti di un dipendente allontanatosi ingiustificatamente dalla propria postazione lavorativa, senza alcuna comunicazione o autorizzazione preventiva. Tale comportamento sarebbe tuttavia stato rilevato de visu dai responsabili del lavoratore e confermato in un secondo momento mediante i log.
A seguito della ricezione della notifica di violazione la società ha provveduto a predisporre una nuova informativa e ad introdurre una procedura di anonimizzazione dei dati su base annuale, ribadendo che la base giuridica del trattamento non era limitata alla soddisfazione dell’esigenza organizzativa e di sicurezza del lavoro, ma si estendeva anche alla tutela del patrimonio aziendale, come da autorizzazione dell’ITL di competenza.
Alla luce di queste considerazioni, reputava lecito il confronto – avvenuto in pendenza di provvedimento disciplinare e non per procedere alla sua instaurazione – tra quanto sostenuto dal dipendente e quanto rilevato attraverso il dato registrato nella macchina.
Il parere del Garante sul trattamento dei dati dei lavoratori
L’Autorità ha ritenuto in parte fondato il reclamo dei lavoratori: l’informativa, condivisa con i dipendenti il giorno prima dell’attivazione del sistema stesso, indicava infatti solo parzialmente i dati oggetto di trattamento e affermava inoltre che si trattava esclusivamente di informazioni in forma aggregata, finalizzate a soddisfare esigenze di sicurezza, organizzative e produttive.
Al contrario il Garante rileva che i dati recepiti nel sistema erano riconducibili a specifici interessati, identificabili dal datore di lavoro attraverso altre informazioni in suo possesso, così come reso evidente dal corso del richiamato procedimento disciplinare. La possibilità di risalire agli specifici interessati rende le informazioni raccolte incompatibili con la definizione stessa di dati aggregati, qualificati proprio per la loro natura di dati non personali.
Il mancato rispetto del principio di trasparenza e la criticità nell’individuazione delle basi giuridiche
L’omissione nell’informativa delle informazioni necessarie all’interessato per comprendere il perimetro del trattamento dei dati dei lavoratori, elencate in maniera puntuale dal Regolamento in materia di protezione dei dati personali per assicurare una piena consapevolezza degli interessati in merito all’utilizzo dei loro dati personali, costituisce un’inottemperanza al dovere di trasparenza ex artt. 5 e 13 del GDPR, nonché al principio di correttezza.
Il Garante ha inoltre rilevato l’assenza di termini specifici di cancellazione, che avrebbero dovuto invece essere esplicitati in ragione della natura pseudonimizzata (ma non aggregata, e quindi pur sempre personale) dei dati: la mera indicazione della circostanza che “i dati raccolti (sarebbero stati) conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali (erano) trattati […] e/o in base alle scadenze previste dalle norme di legge” è stata ritenuta insufficiente dall’Autorità.
Il GDPR richiede infatti che il titolare renda noto agli interessati il periodo di conservazione dei dati oppure, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo, prescrizione che, ad avviso del Garante, richiede un maggior livello di specificità. Allo stesso modo, anche l’imprecisione e l’indicazione solo sommaria delle basi giuridiche sulle quali il titolare ha ritenuto di fondare il trattamento costituiscono una non conformità dell’informativa: la finalità di prevenzione di furti e/o accessi a dati produttivi confidenziali non pare infatti ad avviso dell’Autorità riconducibile ad alcuno dei contenuti dell’accordo sindacale.
Infine, nel contesto del richiamato procedimento disciplinare, l’accesso e l’acquisizione dei dati archiviati dal sistema erano stati effettuati non già per il raggiungimento delle finalità delineate all’interno dell’informativa e dell’accordo sindacale, bensì per adottare il provvedimento disciplinare stesso, in violazione del principio di liceità del trattamento – stante il disallineamento tra le finalità indicate e quelle concretamente perseguite.
Quali insegnamenti trarre dal provvedimento contro Proma?
Il provvedimento in oggetto può essere un utile spunto di riflessione per tutti i titolari-datori di lavoro nel cui perimetro di operatività siano presenti attività produttive, in particolar modo nell’epoca dell’Industria 4.0 dove sempre più spesso si utilizzano sistemi informatizzati per l’attuazione dei processi di produzione.
In tale contesto è indispensabile assicurare la corretta individuazione delle informazioni necessarie raccolte dai macchinari per assicurare la completezza e coerenza degli accordi con le rappresentanze sindacali e verificare che l’informativa fornita sia sufficientemente esplicita ed esaustiva sul tema.
Ampliando il pubblico di riferimento la pronuncia in analisi può essere d’interesse per qualsiasi titolare del trattamento: in primis nella valutazione delle attività effettuate (ed in particolare nella valutazione di eventuali operazioni condotte su “dati aggregati”, affinché sia accertato che si tratti effettivamente di dati non-personali, e quindi non riconducibili a specifici interessati), e secondariamente sui contenuti essenziali dell’informativa.
È infatti indispensabile, per garantire la compliance alla normativa, che le basi giuridiche del trattamento siano chiaramente individuate (nonché sostenute da tutti gli ulteriori adempimenti necessari, ad esempio l’effettuazione di un bilanciamento di interessi nel caso di legittimo interesse), e i tempi di conservazione definiti, non potendosi ritenere sufficiente un mero rinvio al conseguimento delle finalità di trattamento o ai termini di legge.
Infine, non bisogna dimenticare che la liceità di un trattamento fondato su un accordo sindacale sussiste fintanto che questo è effettuato per perseguire le finalità individuate dell’accordo e alle condizioni poste dallo stesso: fuoriuscire da tale perimetro in assenza di un’ulteriore base giuridica idonea farebbe infatti venir meno i presupposti necessari all’effettuazione del trattamento.