Ordinanza ingiunzione nei confronti di Proma S.S.A. s.r.l.

Registro dei provvedimenti
n. 136 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato al Garante ai sensi dell’articolo 77 del Regolamento nei confronti di Proma S.S.A. s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della società e l’attività istruttoria.

1.1. Con reclamo dell’11 febbraio 2019, presentato da Fiom Cgil Molise su mandato di undici lavoratori, sono state lamentate presunte violazioni della disciplina posta in materia di protezione dei dati personali in relazione all’utilizzo da parte di Proma S.S.A. s.r.l. (di seguito, la società), nell’unità produttiva di Pozzilli (Isernia), del sistema informatico PPMS (Proma Productivity Management System).

In particolare con il reclamo è stato lamentato che la società, in relazione all’attivazione del sistema PPMS − oggetto di autorizzazione da parte dell’Ispettorato territoriale del lavoro di Campobasso-Isernia in data 9 luglio 2018 ed attivo dal 1° agosto 2018 − “sta obbligando tutti i lavoratori ad inserire una password individuale sulla postazione di lavoro prima di iniziare la produzione, archiviando i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante le 8 ore lavorative”. Pertanto, stante la riferibilità dei dati raccolti ai singoli dipendenti a seguito dell’autenticazione con password, attraverso il sistema la società effettuerebbe trattamenti di dati riferiti all’attività dei dipendenti sulla base di una informativa (datata 27.7.2018) inidonea a rappresentare le concrete e specifiche finalità e modalità dei trattamenti effettuati. Con il reclamo è stato, pertanto, chiesto al Garante di adottare un provvedimento di accertamento e prescrittivo nei confronti della società.

1.2. La società, in risposta alla richiesta di elementi formulata dall’Ufficio (il 2.5.2019), con nota dell’11 giugno 2019 ha dichiarato che:

a. il sistema Proma Production Management System (PPMS) “è in grado di fornire dati aggregati relativi alla produzione (ovvero i numeri di pezzi prodotti). I dati di produzione sono disponibili per macchina (non per operatore) con aggregazione oraria. All’interno dell’intervallo orario vengono registrati […] i singoli eventi di fermo macchina (con la relativa durata) e la causale (guasto, pausa fisiologica, ecc.), ma solo se inserita dall’operatore. Non è possibile conoscere, in via diretta e in tempo reale, quale sia l’operatore presente sulla postazione. Il dato riferito al singolo lavoratore (tramite log-in) non risulta visibile/accessibile ai soggetti indicati nella informativa e autorizzati al controllo del sistema PPMS” (v. nota 11.6.2019, p. 3);

b. “i dati di produzione/fermi sono disponibili solo a partire dal turno successivo […]” (v. nota cit., p. 3);

c. “Gli unici dati disponibili legati direttamente al lavoratore attengono ai registri relativi alla formazione erogata al personale addetto alla macchina in materia di sicurezza sul lavoro […], alla qualità […], a proposte di miglioramento inserite su base volontaria dal lavoratore […], a segnalazioni di sicurezza inserite su base volontaria […], nonché a richieste di interventi di manutenzione” (v. nota cit., p. 3-4);

d. conformemente “all’informativa resa ex art. 13 del Reg. 2016/679/UE ed all’autorizzazione del ITL […], nessuna informazione trattata ed archiviata sulla base del sistema PPMS è stata mai utilizzata dalla [società] ai fini di presunti controlli «del grado di diligenza prestata».” (v. nota cit., p. 3-4);

e. le finalità del trattamento sono: prevenzione dei furti; prevenzione di accesso non autorizzato a dati di produzione confidenziali; recupero/aumento dei livelli di produttività; tutela della salute e della sicurezza del lavoratore; finalità organizzative, tecniche e produttive (v. nota cit., p. 5-6);

f. “la raccolta dati di produzione opera su dati aggregati. Nella chiave di record non è presente il nominativo dell’operatore in turno sulla linea, ma solo il codice linea […]. […] Trattandosi di dati aggregati e pseudonimizzati […] non sono stati previsti limiti ai tempi di archiviazione dei dati di produzione” (v. nota cit., p. 6);

g. “i limiti previsti relativamente ai dati personali (nome e cognome) nel caso di inserimento volontario del lavoratore seguono le previsioni di cui all’informativa […] consegnata ai lavoratori in data 29.2.2019” (v. nota cit., p. 6 e All. 12 e 12.1);

h. prima di avviare la produzione l’operatore “deve accertare, tramite il sistema PPMS, di avere le competenze e i dispositivi di protezione individuale […] per operare sull’impianto. Il [sistema] prevede anche che l’operatore possa consultare le informazioni relative alle criticità relative alle fasi della produzione dei pezzi ed ai problemi di qualità […]. […] L’operatore può suggerire in modo non anonimo le migliorie da adottare” (v. nota cit., p. 7);

i. il sistema, opportunamente interrogato, produce report e grafici, ad es.: “Report di produzione oraria, giornaliera, settimanale” e “Report di valorizzazione delle perdite […] per macchina e per causale di fermata” (v. nota cit., p. 7 e Doc. 9);

j. il sistema prevede l’accesso mediante l’uso di credenziali personali al fine di “garantire che i macchinari vengano utilizzati solo da personale autorizzato ed adeguatamente formato” (v. nota cit., p. 8);

k. il sistema prevede log-in e log-out solo ad inizio e fine turno, ovvero per “cambio macchina” […]; “solo in caso di fermi macchina superiori ai tre minuti, diversi dalle pause pranzo, l’operatore può (non deve) indicizzare le fermate, inserendo la motivazione (se del caso “pausa fisiologica”)” (v. nota cit., p. 9);

l. allo stato coesiste “il precedente sistema di rilievo della produzione compilato manualmente attraverso form cartacei” […]. “Tale sistema verrà progressivamente eliminato”; […] “i form relativi alla produzione, manutenzione, sicurezza e suggerimenti vengono archiviati fisicamente e registrati manualmente su un sistema software attualmente ancora in uso” (v. nota cit., p. 10).

1.3. Con nota del 30 luglio 2019 i reclamanti hanno ribadito, oltre alle richieste già formulate, che i dipendenti non hanno ricevuto un’informativa idonea con riferimento alle finalità e alle modalità del trattamento effettuato attraverso il sistema ed hanno altresì contestato che “i dati di produzione siano disponibili per macchina e non per operatore in quanto il lavoratore, al momento dell’inizio del turno di lavoro, è obbligato a inserire la propria PW nel sistema”. Con successiva nota dell’8 ottobre 2019 i reclamanti hanno allegato copia della dichiarazione resa dal direttore delle risorse umane della società, in data 29 maggio 2019, alla Legione Carabinieri Abruzzo e Molise, Stazione di Filignano, che avvalorerebbe la lamentata violazione da parte della società, attraverso il sistema, di quanto prescritto dall’IL di Isernia con l’autorizzazione 9 luglio 2018.

1.4. Con nota del 14 novembre 2019 la società, nel fornire riscontro ad una richiesta di ulteriori chiarimenti formulata dall’Autorità (con nota del 15.10.2019), ha dichiarato che:

a.“nessuna informazione trattata ed archiviata sulla base del sistema PPMS è stata utilizzata per elevare la contestazione disciplinare del 16 ottobre 2018. Il comportamento contestato […] attiene all’ingiustificato allontanamento […] dalla […] postazione di lavoro (Impianto n. 117), senza comunicazione né autorizzazione preventiva. Tale assenza è stata rilevata de visu dai superiori gerarchici […]. I dati raccolti tramite il sistema PPMS sono stati analizzati solo successivamente all’audizione difensiva del 6/11/2018 […], a tutela dello stesso lavoratore. Le modalità con le quali si è proceduto ad interrogare il sistema PPMS, sono quelle in uso e coerenti con la nota dell’11 giugno 2019: accedendo al sistema PPMS per il tramite di user name e password personale, il personale autorizzato, ha proceduto a verificare i “fermi” della “macchina” alla quale il lavoratore era addetto (Impianto 117) […]” (v. nota cit., III, sub quesito a);

b. i dati personali inseriti in fase di autenticazione al sistema “sono raccolti e trattati esclusivamente per motivi di sicurezza […] e per motivi di qualità” (v. nota cit., III, sub quesito b);

c. per quanto riguarda le modalità del trattamento dei dati raccolti in fase di autenticazione al sistema, i relativi file di log “sono gestiti dal sistema di log management [che] conserva i dati in maniera sicura per un periodo di 2 anni. Successivamente i dati sono anonimizzati e conservati ai soli fini statistici.” (v. nota cit., III, sub quesito c);

d. con riferimento al trattamento dei dati raccolti in fase immediatamente successiva all’autenticazione, ossia i “dati relativi alle condizioni di sicurezza della macchina ed ai registri di formazione da effettuare prima dell’inizio dell’attività di impianto”, non è prevista anonimizzazione in quanto “verrebbero meno tutte le finalità (di sicurezza, di qualità, didattiche, premianti, ecc.) per i quali sono raccolti” (v. nota cit., III, sub quesito c);

e. i dati raccolti tramite il sistema PPMS e contenuti nel Registro segnalazioni di sicurezza, Registro check list conferma delle condizioni sicure della macchina a inizio turno, Registro formazione continua sui problemi qualitativi sui prodotti in produzione effettuata prima di iniziare la produzione, Registro interventi manutenzione, Registro proposte di miglioramento” (indicati in Doc. 9 allegato alla nota 11.6.2019, p. 23-29) “sono conservati per un periodo di 2 anni. Successivamente i dati sono anonimizzati e conservati sul server esclusivamente per fini statistici” (v. nota cit., III, sub quesito d);

f. “dai turni di lavoro non vi è possibilità di associare la postazione di lavoro al nominativo del dipendente in quanto questi riportano esclusivamente i nominativi dei dipendenti in servizio per data e turno di lavoro senza alcun riferimento alle postazioni. Allo stato […] il PPMS affianca il precedente sistema di rilievo della produzione compilato manualmente attraverso form cartacei […]. I dati contenuti sui form cartacei sono i medesimi di quelli registrati dal PPMS ma al contrario di questi ultimi non sono forniti in forma anonima. Le finalità del trattamento rientrano in quelle previste dall’informativa ex art. 13 GDPR, già consegnata al momento dell’assunzione e successivamente consegnata nuovamente in data 28.2.2019” (v. nota cit., III, sub quesito j.);

g. quanto al numero dei dipendenti addetti ad ogni linea “ci sono impianti dove è presente un solo dipendente e altri impianti o linee […] dove sono presenti da due fino a dieci dipendenti” (v. nota cit., III, sub quesito k.);

h. “al fine di minimizzare il rischio che il dato identificativo contenuto nei form cartacei dei fogli operativi di produzione del preesistente sistema di gestione possa essere associato ai dati raccolti con il sistema PPMS si è operato nel senso: di predisporre i turni di lavoro in modo da eliminare ogni riferimento alla postazione di lavoro ed all’orario dei turni; sul PPMS i dati vengono aggregati su base oraria ed in maniera indipendente dalla turnazione tenuta in azienda; i dati di produzione/fermi sono disponibili solo a partire dal turno successivo e solo in modo aggregato e pseudonimizzato, mentre i form di produzione compilati dai lavoratori vengono consegnati al responsabile presente a fine turno […]; [di definire il contenuto delle] policy relative alla procedura di gestione degli accessi al sistema PPMS […] e la definizione degli incarichi e dei profili autorizzativi […]; l’uso improprio del sistema PPMS […] costituisce illecito disciplinare” (v. nota cit., III, sub quesito l.).

1.5. Il 31 gennaio 2020 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla società delle presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e e), 13 e 88 del Regolamento e 114 del Codice. Con memorie difensive del 28 febbraio 2020 la società ha dichiarato che:

a. successivamente alla ricezione della notifica di violazione ha predisposto una nuova informativa, datata 27 febbraio 2020, “da comunicare ai lavoratori”, relativamente ai trattamenti effettuati dal sistema PPMS, in sostituzione di quella datata 27.7.2018;

b. la società ha altresì “provveduto ad introdurre una procedura di anonimizzazione dei dati acquisiti tramite PPMS su base annuale che coinvolge tutte le funzioni relative al sistema PPMS”, da effettuarsi il primo sabato di gennaio di ogni anno con riferimento alle “registrazioni antecedenti ai 2 anni precedenti”;

c. quanto alle informazioni già fornite in precedenza ai dipendenti, con una “nuova informativa generale in data 27 febbraio 2019” sono state fornite informazioni “quanto più trasparenti possibili” (laddove si indica che “i dati relativi alla produzione, e più specificamente: avanzamento produttivo; problemi di sicurezza, problemi di qualità, guasti occorsi, Asservimento logistico […] (raccolti ed archiviati in forma aggregata) saranno utilizzati per le seguenti finalità: Sicurezza; […] Esigenze organizzative e produttive”;

d. “i dati trattati sono raccolti in forma aggregata, tale che i report non contengono alcun dato personale”;

e. la base giuridica del trattamento, come indicato anche nell’informativa resa ai lavoratori, risiede nell’autorizzazione dell’ITL Campobasso-Isernia del 9.7.2018; “contrariamente a quanto si legge nella contestazione, l’autorizzazione della ITL non risulta limitata alle sole esigenze organizzative e di sicurezza del lavoro. La stessa è stata rilasciata ai sensi dell’art. 4, della l. n. 300/70, comma 1, [il quale] ricomprende anche la tutela del patrimonio aziendale”; la stessa autorizzazione prevede al numero 7) che “in occasione di ciascun accesso esterno ai dati (che di norma dovrebbe avvenire solo nelle ipotesi di eventi criminosi o eventi dannosi), la ditta dovrà darne tempestiva informazione ai lavoratori”;

f. quanto alla contestata riconducibilità dei dati trattati con il sistema ad interessati identificabili si ribadisce quanto dedotto nel corso dell’istruttoria, ossia che “il dato riferito al singolo lavoratore (tramite il log-in) non risulta visibile/accessibile ai soggetti indicati nella informativa ed autorizzati al controllo del sistema”;

g. “i file di log-in e di log-out non sono presenti nel sistema PPMS. I file di log sono gestiti dal sistema di log management […] solo l’amministratore di sistema ha accesso ai dati di log […]. Il sistema di log management conserva i dati in maniera sicura per un periodo di due anni. Successivamente i dati sono anonimizzati e conservati per soli fini statistici”; “Con l’implementazione del sistema […] dopo due anni viene di fatto impedita ogni possibilità di risalire alla pregressa situazione attraverso l’incrocio con altre possibili fonti di informazione”;

h. in base alla prescrizione dell’ITL la società “non può utilizzare il sistema PPMS ai fini del controllo in via preventiva dell’osservanza dell’obbligo di diligenza da parte dei lavoratori […]”. […] “nel caso che occupa il datore di lavoro, in adempimento degli obblighi di legge, ha confrontato – durante il procedimento disciplinare, e non ai fini della contestazione – le giustificazioni rese dal lavoratore, con il dato del “fermo macchina” dell’impianto […]”; con riferimento al procedimento disciplinare “nel corso degli accertamenti era stato acquisito, anche, il foglio di lavoro (cartaceo) compilato manualmente dal lavoratore, prelevato […] nel corso della verifica che i due responsabili hanno effettuato sulla postazione che era priva dell’operatore […]. In applicazione del principio “audiatur et altera pars” il responsabile del procedimento disciplinare ha chiesto “la verifica, limitata alle giustificazioni del lavoratore, di quanto risultava rispetto alla postazione n. 117”;

i. la società ha pertanto applicato quanto disposto dall’art. 7, l. 20.5.1970, n. 300 “in favore dei diritti del lavoratore”;

j. considerato che il Giudice delle indagini preliminari di Isernia ha disposto l’archiviazione in data 18.10.2019 del procedimento penale avviato a seguito di un esposto dell’organizzazione reclamante, si ritiene che solo il giudice penale sia competente in relazione alla “violazione dell’art. 4 comma 1 della L. n. 300/70”, avendo accertato, secondo quanto ritenuto dalla società, “l’insussistenza della illiceità dei trattamenti dei dati personali dei lavoratori”; pertanto la società ritiene che “l’accertamento del giudice penale di assenza di violazione dell’art. 4 comma 1 della L. n. 300/70 in merito alla medesima condotta […], determina l’impossibilità giuridica di riqualificare la fattispecie per irrogare una sanzione amministrativa, in forza del […] principio di ne bis in idem”.

2. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

2.1. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, il reclamo risulta fondato per alcuni profili, in quanto la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali riferiti ai dipendenti che risultano non conformi alla disciplina in materia di protezione dei dati personali nei termini di seguito descritti.

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, nel merito è emerso che la società ha attivato il sistema PPMS in data 1° agosto 2018, previo rilascio di una informativa ai lavoratori in data 31 luglio 2018. Con la predetta informativa (v. All. 7, reclamo 11.2.2019, “Informativa relativa all’attivazione e al funzionamento del PPMS”, datata 27.7.2018) è stato, tra l’altro, rappresentato che: “Le informazioni raccolte dal PPMS riguardano esclusivamente i dati relativi alla produzione e più specificamente: Avanzamento produttivo; Problemi di sicurezza; Problemi di qualità; Guasti occorsi; Asservimento logistico”. La società ha inoltre indicato che tali dati sono “raccolti ed archiviati in forma aggregata” ed utilizzati per finalità di sicurezza (“Miglioramento della sicurezza in ogni fase del processo produttivo e dell’ergonomia delle postazioni di lavoro; riduzione fino allo zero degli infortuni”) e per esigenze organizzative e produttive (indicate quali: “gestione fermo impianti; prevenzione di furti e/o accessi a dati produttivi confidenziali; recupero/aumento dei livelli di produttività; riduzione degli errori e degli sprechi; gestione delle variazioni specifiche dei prodotti e dei flussi di approvvigionamento”). Nell’informativa è inoltre specificato che i dati raccolti con il sistema “non sono visionabili in tempo reale” e “non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”.

2.2. In base a quanto dichiarato dalla società nel corso del procedimento è emerso, in primo luogo, che i dati raccolti con il sistema, anche quelli riferiti alla produzione, sono riconducibili ad interessati identificabili, attraverso l’utilizzo di ulteriori informazioni nella disponibilità del titolare, diversamente da quanto indicato nell’informativa relativa al sistema PPMS laddove è indicato che i dati relativi alla produzione sono “archiviati in forma aggregata”. Ciò sia in ragione della conservazione dei log di accesso e dei registri di sicurezza e qualità, nonché delle proposte di miglioramento e degli interventi di manutenzione, sia − in aggiunta − in considerazione del fatto che seppure i turni di lavoro non indichino la postazione occupata, dall’analisi dell’elenco delle postazioni fornito dalla società emerge che nella gran parte dei casi queste sono occupate da un solo lavoratore (75 su 88; mentre in 8 casi su 88 gli addetti sono 2 e in 5 casi su 88 gli addetti per postazione sono più di due: v. Doc. 19, nota della società 14.11.2019). Che i dati specifici relativi all’attività lavorativa svolta dal singolo dipendente siano accessibili attraverso l’accesso al sistema è infine confermato dalla verifica effettuata dal direttore delle risorse umane nell’ambito del procedimento disciplinare avviato nei confronti di un dipendente con contestazione del 16 ottobre 2018, all’esito della quale si è proceduto a “verificare i “fermi” della “macchina” alla quale il lavoratore era addetto (Impianto 117) […]”. È emerso, inoltre, che allo stato coesiste con il sistema PPMS il pregresso sistema basato sulla compilazione di moduli cartacei nei quali il nominativo del dipendente è indicato in chiaro; tali moduli sono archiviati e registrati su apposito software senza che risultino adottate misure di segregazione della relativa base di dati (peraltro è risultato che anche tali dati sono stati utilizzati nel sopra menzionato procedimento disciplinare).

L’Autorità ha già chiarito, in proposito, che la conservazione di dati personali su sistemi diversi non incide sulla unitarietà del complessivo trattamento effettuato dal titolare (v. provv. 9.1.2020, n. 8, in www.garanteprivacy.it, doc. web n. 9263597).

L’omessa informazione agli interessati circa tale significativa caratteristica del sistema risulta in violazione dell’art. 13 del Regolamento, in base al quale il titolare è tenuto a fornire preventivamente tutte le informazioni relative alle caratteristiche essenziali del trattamento, in applicazione del principio generale di trasparenza (art. 5, par. 1, lett. a) del Regolamento). Nell’ambito del rapporto di lavoro l’obbligo di informare il dipendente è altresì espressione del principio generale di correttezza dei trattamenti, contenuto nell’art. 5, par. 1, lett. a) del Regolamento.

2.3. È altresì emerso che i dati raccolti con il sistema, oltre a quelli prettamente relativi alla produzione (numero di pezzi prodotti, v. precedente punto 1.2., lett. a.), sono riferiti anche alle seguenti informazioni: log di accesso (autenticazione) al sistema; “registro conferma check list condizioni sicure avvio turno”, “registro formazione continua sui problemi di qualità OPL di inizio turno”, “registro interventi di manutenzione e analisi del guasto”, “registro proposte di miglioramento”. Tale ulteriore tipologia di dati, organizzata in registri, non è menzionata nella predetta informativa relativa all’uso del sistema PPMS, né nella informativa di carattere generale rilasciata ai sensi dell’art. 13 del Regolamento, datata 27.5.2018 e consegnata ai dipendenti in data 28.2.2019 (e, per taluni, spedita in data 22-23.3.2019; v. All. 12-12.1, nota della società 11.6.2019). Diversamente da quanto sostenuto dalla società (v. precedente punto 1.5, lett. c.) l’informativa relativa al sistema (del 27.7.2018) ha indicato cinque macro categorie di informazioni inidonee a rappresentare gli specifici trattamenti effettuati, riferiti ad informazioni la cui conservazione, come sopra rilevato, è effettuata con modalità che consentono la riconducibilità all’interessato (v. precedente punto 1.4., lett. c., d. e e.).
Anche sotto tale profilo pertanto i trattamenti sono stati effettuati in violazione dell’art. 13 e dell’art. 5, par. 1, lett. a) del Regolamento.

2.4. Per quanto riguarda i tempi di conservazione dei dati trattati dal sistema, la società nel corso dell’istruttoria ha in un primo momento dichiarato (v. precedente punto 1.2., lett. f.) che in relazione ai dati di produzione raccolti con il sistema PPMS “trattandosi di dati aggregati e pseudonimizzati […] non sono stati previsti limiti ai tempi di archiviazione”. Pertanto la conservazione di tali informazioni raccolte con il sistema non sarebbe soggetta ad alcun termine in base alla premessa che tali informazioni siano “aggregate” (non riconducibili ad interessati identificati) e “pseudonimizzate” (riconducibili ad interessati identificati mediante l’utilizzo di informazioni aggiuntive). In proposito si osserva da un lato, come sopra rilevato, che i dati raccolti e conservati dal sistema non sono “aggregati” in quanto, semmai, pseudonimizzati, pertanto riconducibili ai dipendenti mediante associazione con altre informazioni disponibili nel sistema. In tal caso il titolare del trattamento è soggetto all’obbligo di conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati (v. art. 5, par. 1, lett. e) del Regolamento). Per quanto riguarda, invece, i dati trattati “in caso di inserimento volontario del lavoratore, ovvero di assolvimento degli obblighi di sicurezza”, per i limiti di conservazione la società rinvia alla informativa “consegnata ai lavoratori in data 29.2.2019”. Tale informativa tuttavia non indica alcun termine specifico di conservazione (“I dati raccolti verranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […] e/o in base alle scadenze previste dalle norme di legge […]”, v. informativa cit., punto H).

La società ha successivamente dichiarato (v. precedente punto 1.4., lett. c., d. e e.) di conservare per due anni i dati relativi ai log di autenticazione al sistema nonché le informazioni contenute nel Registro segnalazioni di sicurezza, Registro check list conferma delle condizioni sicure della macchina a inizio turno, Registro formazione continua sui problemi qualitativi sui prodotti in produzione effettuata prima di iniziare la produzione, Registro interventi manutenzione, Registro proposte di miglioramento (v. precedente punto 1.3.), sebbene non sia stato chiarito in quale data sia stata introdotta tale limitazione della memorizzazione.

La specifica informazione relativa ai tempi di conservazione non risulta essere stata fornita ai dipendenti. In particolare la società non ha informato gli interessati che i dati raccolti e “archiviati in forma aggregata”, attraverso l’utilizzo di ulteriori informazioni presenti nel sistema sono comunque riconducibili al dipendente per un periodo significativo di tempo (due anni).

Anche sotto tale profilo risulta pertanto violato il principio di correttezza e trasparenza del trattamento dei dati personali (art. 5, par. 1, lett. a) del Regolamento) nonché l’obbligo di fornire agli interessati determinate informazioni relative alle caratteristiche principali del trattamento, compresi i tempi di conservazione (art. 13, par. 2, lett. a) del Regolamento).

2.5. Inoltre è emerso che la predetta informativa fornita il 31 luglio 2018 (datata 27.7.2018) contiene il riferimento congiunto ad una pluralità di finalità (tra loro eterogenee) che la società dichiara di perseguire nelle attività di trattamento dei dati raccolti attraverso il sistema PPMS senza tuttavia indicare contestualmente la specifica e distinta base giuridica del trattamento, secondo quanto prescritto dall’art. 13, par. 1, lett. c) del Regolamento. Infatti alcune delle dichiarate finalità (in particolare: “prevenzione di furti e/o accessi a dati produttivi confidenziali”, v. precedente punto 1.2., lett. e.) non sono riconducibili a quelle prese in considerazione nella autorizzazione del 9.7.2018 dell’Ispettorato Territoriale del Lavoro di Campobasso-Isernia, che ha ritenuto sussistenti, nel caso specifico, “esigenze organizzative” e di “sicurezza del lavoro”. Diversamente da quanto sostenuto dalla società nelle memorie difensive, la clausola presente nella autorizzazione ITL Campobasso-Isernia (v. punto 7), riferita alla possibilità che le autorità competenti possano, se del caso, effettuare un accesso “esterno” alle informazioni contenute nel sistema, in occasione della verificazione di un “atto criminoso” o un “evento dannoso”, è una fattispecie del tutto distinta da quella consistente nella astratta e indistinta finalità di “prevenzione di furti e/o accessi a dati produttivi confidenziali” perseguita dal titolare del trattamento (locuzione che, in sé, può ricomprendere anche l’accertamento del grado di diligenza del lavoratore, espressamente non consentito dall’autorizzazione stessa).

Anche sotto tale profilo l’informativa resa ai dipendenti risulta in contrasto con quanto previsto dall’articolo 13 del Regolamento (con particolare riferimento al par. 1, lett. c) e all’art. 5, par. 1, lett. a) del Regolamento).

2.6. È infine emerso che i dati raccolti con il sistema PPMS sono stati utilizzati, secondo quanto risulta dalle stesse dichiarazioni rese dalla società (v. precedente punto 1.4. e 1.5.), al fine di verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato a suo carico. L’accesso al sistema è stato effettuato da “personale autorizzato”, utilizzando user name e password personali. La circostanza che tale accesso e la successiva acquisizione di dati archiviati nel sistema non sia avvenuta per elevare la contestazione disciplinare bensì in fase successiva alla audizione del lavoratore − al fine di verificare la veridicità delle controdeduzioni offerte in sede di audizione dallo stesso (pertanto, secondo quanto prospettato, “a garanzia del lavoratore” anche se in concreto i dati raccolti avrebbero smentito la sua ricostruzione avvalorando la contestazione della società) −, conferma che i dati raccolti con il sistema ed ivi conservati sono stati in concreto utilizzati per l’adozione di un provvedimento disciplinare.

Ciò non solo contravvenendo a quanto indicato nell’informativa relativa al funzionamento del sistema (datata 27.7.2018: ”i dati raccolti sul PPMS non verranno in nessun caso utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari”) ma anche nella autorizzazione rilasciata dall’Ispettorato territoriale di Campobasso-Isernia in data 9.7.2018 che ha, tra l’altro, prescritto alla società che “i dati registrati non potranno in nessun caso essere utilizzati per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori né per l’adozione di provvedimenti disciplinari” (v. autorizzazione ITL cit., punto 6).

In base all’art. 114 del Codice l’osservanza dell’art 4, l. 20.5.1970, n. 300 – che prevede il rilascio della autorizzazione da parte dell’Ispettorato del lavoro in caso di mancato accordo con le rappresentanze dei dipendenti come condizione indefettibile in caso di installazione di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” – costituisce condizione di liceità dei trattamenti di dati personali. La norma di settore richiamata espressamente dalla disciplina in materia di protezione dei dati personali costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.

Pertanto il trattamento effettuato dalla società in contrasto con la prescrizione della richiamata autorizzazione è avvenuto in violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e di quanto previsto dall’art. 88 del Regolamento (v. provv. 5 settembre 2013, n. 385, doc. web n. 2683203).

Inoltre, anche sotto tale profilo, il trattamento ha violato l’art. 13 del Regolamento considerato che, come sopra osservato, l’informativa rilasciata agli interessati contiene l’indicazione che i dati trattati con il sistema non sono “utilizzati […] per l’adozione di provvedimenti disciplinari”.

Si osserva, infine, che tale accertamento dell’Autorità non costituisce “bis in idem” rispetto alla decisione del giudice penale, come ritenuto dalla società, considerato, in primo luogo, che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Pertanto nel caso di specie non è ipotizzabile che eventuali distinte attività di accertamento abbiano il medesimo destinatario. Inoltre, in base alla documentazione prodotta in atti, risulta che il decreto di archiviazione del giudice per le indagini preliminari di Isernia è stato adottato (in data 18.10.2019) in relazione al prospettato reato di cui all’articolo 610 del codice penale (violenza privata), con la seguente motivazione “la notizia di reato non è fondata trattandosi di controversia di natura civilistica (diritto del lavoro)”. Trattandosi di fattispecie (la medesima condotta datoriale) soggetta nel nostro ordinamento a doppio regime sanzionatorio, nulla osta a che l’Autorità, accertata la violazione, possa ritenere applicabile la sanzione amministrativa con esclusivo riferimento ai profili di propria competenza

3.1. Con riferimento alla nuova informativa elaborata dalla società, datata 27 febbraio 2020 (nota 28.2.2020, All. I, Informativa sistema Proma Productivity Management System), che non risulta essere stata già consegnata ai dipendenti, si prende atto che l’elenco della tipologia di dati trattati è stato integrato rispetto alla precedente informativa ed è comprensivo dei seguenti elementi: “log di accesso (autenticazione al sistema); registro conferma check list, condizioni sicure avvio turno, registro formazione continua sui problemi di qualità OPL di inizio turno, registro interventi di manutenzione e analisi del guasto, registro proposte di miglioramento, avanzamento produttivo, problemi di qualità, problemi di sicurezza, fermate impianto, asservimento logistico, registro segnalazioni di sicurezza, gestioni e monitoraggio condizioni di sicurezza segnalate, registro di interventi di manutenzione e analisi del guasto”.

Sotto tale profilo, pertanto, la versione aggiornata dell’informativa risulta completa della indicazione del novero di dati effettivamente trattati attraverso il sistema PPMS.

3.2. Relativamente all’individuazione dei tempi di conservazione la società ha precisato che “i dati di produzione raccolti con PPMS vengono conservati in forma aggregata e pseudonimizzata per i tempi necessari al monitoraggio/valutazione dei cicli produttivi conformemente a quanto disposto dal GDPR ed autorizzato dall’ITL di Campobasso Isernia, comunque per un tempo non superiore ai due anni. Trascorso il periodo di due anni i dati di produzione verranno resi anonimi in maniera non reversibile e conservati per fini statistici e per il miglioramento della produzione”.

Pertanto la società con tale documento dichiara di aver commisurato, in applicazione del principio di responsabilizzazione (c.d. accountability, v. art. 24 del Regolamento), il termine di conservazione dei dati raccolti con il sistema con modalità tali da consentire l’identificazione dell’interessato a quanto in concreto necessario per il “monitoraggio/valutazione dei cicli produttivi”. Di conseguenza la congruità in concreto dei tempi di memorizzazione dei singoli dati raccolti dovrà essere valutata in relazione a tale parametro.

3.3. Con riferimento, invece, alla indicazione delle finalità del trattamento perseguito e della relativa base giuridica, la nuova informativa distingue tra: 1. trattamenti effettuati sulla base del legittimo interesse del titolare, consistenti nella “prevenzione dei furti” e “controllo dell’accesso ai dati produttivi aziendali solo da soggetti autorizzati”; 2. trattamenti effettuati sulla base del contratto di lavoro, consistenti nella “erogazione di premi da parte della società”; 3. trattamenti effettuati sulla base della autorizzazione dell’ITL di Campobasso-Isernia del 9 luglio 2018, consistenti in “esigenze organizzative legate alla raccolta dei dati di produzione ed informazioni connesse ai fermi macchina; al recupero/aumento dei livelli di produttività; alla riduzione degli errori e degli sprechi; alla gestione delle variazioni specifiche dei prodotti, dei flussi di approvvigionamento”; trattamenti effettuati sulla base della citata autorizzazione dell’ITL di Campobasso-Isernia e in base alla disciplina in materia di sicurezza sul lavoro (D. Lgs. n. 81 del 2008) consistenti in “sicurezza in ogni fase del processo produttivo con l’obiettivo di riduzione fino allo zero degli infortuni”.

In proposito si osserva che in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300).

Tra le predette finalità non rientra quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato (art. 6, par. 1., lett. f) del Regolamento), né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro. Pertanto, la società dovrà individuare le finalità in concreto riconducibili a quanto autorizzato, salva l’operatività dell’art. 4, comma 3, l. n. 300/1970 cit. (tenuto conto dell’obbligo di applicare in ogni caso i principi di protezione dei dati e, nel caso di specie, di osservare la condizione apposta all’autorizzazione del 9.7.2018 relativamente alle finalità disciplinari e di accertamento dell’obbligo di diligenza). La società, pertanto, al fine di conformare i propri trattamenti a quanto prevede il Regolamento, dovrà modificare la sezione della nuova informativa relativa a “Finalità di trattamento dei dati e base giuridica” relativamente alle rappresentate finalità di “legittimo interesse del titolare” e “contratto di lavoro”, fornendo agli interessati un’informazione chiara ed esaustiva sulla base giuridica dei trattamenti effettuati (art. 13, par. 1, lett. c) del Regolamento), conformemente a quanto previsto dall’ordinamento vigente.

4. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, il trattamento dei dati personali riferiti ai lavoratori effettuato dalla società attraverso il sistema PPMS nei termini sopra descritti e in base alle informative datate 27 maggio 2018 e 27 luglio 2018, risulta illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e e), 13 e 88 del Regolamento e all’art. 114 del Codice.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto:

– si dispone la limitazione definitiva del trattamento dei dati raccolti mediante il sistema PPMS, riconducibili ad interessati identificabili, in base alle informative datate 27 luglio 2018 e 27 luglio 2018, risultate non conformi al Regolamento, limitatamente alle operazioni di conservazione dei dati (art. 58, par. 2, lett. f), Regolamento); si rappresenta che in base all’art. 2-octies del Codice i dati personali trattati in violazione della disciplina in materia di protezione dei dati personali “non possono essere utilizzati”;

– si ingiunge alla società di conformare al Regolamento il modello di informativa relativo al sistema PPMS datata 27 febbraio 2020, in base a quanto esposto in motivazione (v. punto 3.3.) (art. 58, par. 2, lett. d), Regolamento);

– si ingiunge alla società di adottare misure di segregazione dei dati raccolti attraverso i form cartacei e conservati sia in un archivio cartaceo sia attraverso l’utilizzo di un software (art. 58, par. 2, lett. d), Regolamento);

– si dispone, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), Regolamento).

5. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali dei reclamanti e dei dipendenti effettuati dalla società attraverso il sistema PPMS, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e e), 13 e 88 del Regolamento e all’art. 114 del Codice, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedente punto 1.5).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; le violazioni hanno anche riguardato le condizioni di liceità del trattamento (disposizioni più specifiche riguardo ai trattamenti nell’ambito dei rapporti di lavoro) e le disposizioni sull’informativa; ciò in relazione ad un numero significativo di interessati;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

c) la società ha cooperato con l’Autorità nel corso del procedimento;

f) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019. Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Proma S.S.A. s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 40.000,00 (quarantamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato le condizioni di liceità del trattamento e l’obbligo di fornire un’idonea informativa all’interessato, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ai sensi dell’articolo 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Proma S.S.A. s.r.l. in persona del legale rappresentante, con sede legale in Viale Carlo III – prima traversa, San Nicola La Strada (CE) C.F. 01713010617, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e e), 13 e 88 del Regolamento nonché dell’art. 114 del Codice;

IMPONE

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento a Proma S.S.A. s.r.l. la limitazione definitiva del trattamento dei dati raccolti mediante il sistema PPMS, riconducibili ad interessati identificabili, in base alle informative datate 27.5.2018 e 27.7.2018, risultate non conformi al Regolamento, limitatamente alle operazioni di conservazione dei dati;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Proma S.S.A. s.r.l. di conformare al Regolamento i propri trattamenti con riferimento a quanto previsto nell’informativa relativa al sistema PPMS datata 27.2.2010, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Proma S.S.A. s.r.l. di adottare misure di segregazione dei dati raccolti attraverso i form cartacei e conservati sia in un archivio cartaceo che attraverso l’utilizzo di un software, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Proma S.S.A. s.r.l. di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la predetta somma di euro 40.000,00 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Proma S.S.A. s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Matteo

Fonte: Garante Privacy

Scroll to Top