Garante privacy, sanzione a un’azienda per violazioni dei diritti dei lavoratori

Un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda è costituito dal rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy.

Non sono risultate sufficienti le motivazioni presentate da un’azienda al fine di evitare una sanzione di 20mila euro da parte del Garante per la protezione dei dati personali. L'azienda aveva installato un sistema di allarme, la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.

Tali violazioni sono state rilevate nel corso di una ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.

Per quanto riguarda, nello specifico, il sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni. Ad avere accesso, attraverso uno smartphone, erano il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente anche di i redarguire gli interessati, attraverso le casse dell’impianto.

Dipendenti tracciati 

L'ispezione ha inoltre fatto emergere un'ulteriore irregolarità: l’azienda utilizzava un applicativo che, quand’era in uso, tracciava in modo continuiativi, tramite GPS, la posizione del dipendente nello svolgimento della sua attività, data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

Il trattamento dei dati tramite il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza, è stata rilevata anche l’assenza di cartelli informativi in loco.

Per rinforzare in misura ancora più incisiva la sicurezza dei locali aziendali, la Società aveva installato anche un sistema di allarme, la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

A questo riguardo, nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cc.dd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.

Oltre a dover pagare la sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.