Il Garante Privacy ha sanzionato un’azienda di produzione relativamente al trattamento dei dati personali dei lavoratori mediante un software del tipo “Industria 4.0” (i cosiddetti MES, Manufacturing Execution System) che implementano le funzionalità per gestire, ottimizzare e controllare in tempo reale i processi produttivi dell’azienda e la qualità dei prodotti.

Il Garante Privacy ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati personali disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative ed autorizzate dal provvedimento della Direzione Territoriale del Lavoro (emanato ai sensi dell’art. 4 dello Statuto dei Lavoratori). È risultato, infatti, che attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro i dati sulla produzione erano riconducibili a lavoratori identificabili e che i dati di un dipendente erano stati inoltre utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato: la Società li aveva usati, infatti, nell’ambito di un procedimento disciplinare nei confronti del dipendente, in tal modo contravvenendo a quanto indicato nelle informative sul funzionamento del sistema nonché nell’autorizzazione rilasciata dall’Ispettorato, che vietava espressamente l’utilizzo dei dati raccolti a fini disciplinari.

L’Autorità, quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le

informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema; ha inoltre ingiunto la pubblicazione del provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7 del Codice nonché il pagamento di una sanzione di 40.000 euro: infatti, la normativa privacy si intreccia con quella giuslavoristica, ovvero con l’art. 4 dello Statuto dei Lavoratori che vieta il controllo a distanza ed impone la stipula di un accordo con le RSU (laddove presenti) o l’autorizzazione della Direzione Provinciale del Lavoro per l’utilizzo di sistemi che, anche solo potenzialmente, potrebbero determinare un controllo/monitoraggio a distanza dell’attività lavorativa. Tale articolo è espressamente richiamato dall’ art. 114 del Codice privacy (D.lgs 196/2003) che recita: “Controllo a distanza. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n.300”.

E’necessario, concludendo, che le aziende intraprendano i passi necessari per l’utilizzo di tali software, a cominciare da esaustive informazioni comunicate ai dipendenti.

 

Per ulteriori informazioni:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9586936

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9587207