Valutazioni sui dipendenti da parte del datore di lavoro senza coinvolgimento del DPO

Da tempo molti dipendenti si lamentavano di umilianti violazioni della loro privacy e della invasiva sorveglianza a cui sarebbero stati sottoposti sul posto di lavoro, molestie che sarebbero sconfinate fino al divieto di andare alla toilette, e addirittura alla creazione di un registro in cui la società descriveva i propri dipendenti in modo denigratorio classificandoli come "critici" o "molto critici", e valutando tagli salariali in base alle informazioni riportate in tale black-list, che comprendeva anche dati sensibili "sulla salute dei singoli dipendenti o sul loro interesse in un comitato aziendale".

La vicenda era finita perfino sulle pagine del quotidiano Der Spiegel, ed era praticamente divenuta di dominio pubblico, eppure il Data Protection Officer non era mai stato coinvolto dalla direzione aziendale.

Fino a quando il Garante per la protezione dei dati e la libertà d'informazione di Berlino (BlnBDI), dopo aver analizzato le notizie pubblicate dai giornali e dopo aver ricevuto anche una denuncia personale da uno dei lavoratori riguardati dalle vessazioni, aveva avviato un'indagine sulla Humboldt Forum Service GmbH, società in house di proprietà al 100% della Fondazione Humboldt Forum nel Palazzo di Berlino, che si occupa della sicurezza e dei servizi infrastrutturali essenziali per il funzionamento del noto museo tedesco.

Una classifica discriminatoria dei dipendenti

Nel corso dell’indagine, l’autorità appurava che in effetti il datore di lavoro aveva istituito un registro in cui classificava tutti i dipendenti con tali criteri driscriminatori, e tra i dati sulla salute dei lavoratori vi erano perfino informazioni sulla loro partecipazione a sedute di psicoterapia. Inoltre, nel periodo di prova, le spietate valutazioni dei neo assunti venivano inserite in una colonna a margine di una tabella del registro dal titolo “motivo”.

Preso atto del trattamento di dati personali in violazione degli articoli 5,6 del GDPR, lo scorso 2 agosto l’autorità tedesca infliggeva quindi sanzioni alla Humboldt Forum Service GmbH per varie infrazioni per un totale di 215.000 euro, di cui 40.000 euro per la tardiva segnalazione di un data breach, la mancata menzione dell'elenco nel registro dei trattamenti, e per il mancato coinvolgimento del Data Protection Officer che, come previsto dall’art.38 del Regolamento UE sulla protezione dei dati personali avrebbe dovuto essere consultato prima della creazione dell'elenco.

Articolo di Nicola Bernardi Presidente di Federprivacy