Dati personali: quale tutela?
L’avvocato giuslavorista Barbara Manferdini risponde alle domande dei lettori su questioni inerenti il vivere quotidiano
Egregio Avvocato, ho un’azienda e vorrei capire che responsabilità potrei avere nell’utilizzo dei dati dei dipendenti per autorizzare le vaccinazioni Covid 19?
Lettera firmata
Come noto, da ormai alcuni anni è entrato in vigore il Gdpr – Regolamento generale per la protezione dei dati, che ha incisivamente modificato la normativa in tema di trattamento e protezione dei dati personali. Uno degli aspetti sicuramente maggiormente rilevanti per le aziende è la possibilità di essere sanzionate a causa del mancato recepimento della normativa. Anche solo una informativa privacy non corretta, o comunque non conforme all’effettivo trattamento eseguito, può comportare conseguenze alquanto spiacevoli, soprattutto in termini economici.
Degno di nota è un recente provvedimento adottato dal Garante Privacy italiano, il quale ha emesso un’ordinanza di ingiunzione nei confronti di una società a fronte di un reclamo presentato da una sigla sindacale, su mandato di alcuni lavoratori dipendenti, nel quale venivano lamentate presunte violazioni della normativa in materia di protezione dei dati personali nell’ambito dell’utilizzo di un sistema informatico da parte della società. Nello specifico, i lavoratori lamentavano che attraverso l’utilizzo di un sistema informatico adottato dalla società e validato da parte dell’ITL (Ispettorato Nazionale Lavoro) di competenza, la società obbligasse i lavoratori ad inserire le proprie personali credenziali sulla postazione di lavoro prima di iniziare la produzione, archiviando dunque i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante i turni lavorativi.
Pertanto, stante la possibilità di risalire all’identità del dipendente a fronte dell’autenticazione eseguita, la società eseguiva un trattamento per la quale era stata fornita una informativa privacy ritenuta non idonea e conforme alle specifiche finalità e modalità degli stessi trattamenti. Nel corso dell’istruttoria la società riteneva, a sua difesa, che non fosse possibile risalire alle identità dei lavoratori dalle credenziali fornite in quanto il sistema informatico forniva dati aggregati e pseudonimizzati relativi alla produzione; inoltre sosteneva che le credenziali di accesso non fossero visibili ai soggetti indicati nella informativa come autorizzati e che conformemente all’Informativa e all’autorizzazione del ITL, nessuna informazione trattata e archiviata sulla base del predetto sistema venisse mai utilizzata ai fini di presunti controlli “del grado di diligenza prestata” dal lavoratore. Infine, sosteneva che le finalità indicate nella informativa fossero rispondenti a quelle effettivamente risultanti in concreto.
Da precisare che il reclamo presentato innanzi al Garante traeva origine da una impugnazione di una contestazione disciplinare, irrogata da parte della Società nei confronti di un lavoratore che si era ingiustificatamente allontanato dalla postazione di lavoro. Tale assenza, rilevata dai superiori gerarchici di persona, era stata poi verificata attraverso l’analisi dei dati del sistema citato: accedendo allo stesso, il personale autorizzato aveva infatti potuto verificare che la macchina era stata fermata – ingiustificatamente – durante il turno di spettanza del lavoratore interessato… continua a leggere.