- 28 Maggio 2021
- Categoria: News
40.000 euro di multa a una società manifatturiera per aver utilizzato in maniera illecita i dati personali dei propri dipendenti attraverso il sistema informativo in uso presso l’azienda.
Una società manifatturiera è stata sanzionata per aver utilizzato i dati dei dipendenti trattati illecitamente attraverso il sistema informativo in uso presso la stessa azienda.
Lo scorso 15 aprile, infatti, il Garante per la protezione dei dati personali, con l’ordinanza ingiunzione n 136, ha disposto alla società una multa di 40.000 euro ritenendo che la stessa raccogliesse i dati personali dei propri dipendenti e li utilizzasse per altre finalità rispetto a quelle previste dalle informative e autorizzate dall’Ispettorato.
L’Autorità ha appurato che il sistema informativo utilizzato, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per altre finalità ulteriori a quelle dichiarate nelle informative. È infatti risultato che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro e che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato. Altre irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori.
L’Autorità quindi, ritenuto illecito il trattamento effettuato, oltre alla sanzione amministrativa di 40.000 euro, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema.
Va ricordato che, secondo il Regolamento (Ue) 679/2016, il titolare del trattamento è tenuto a fornire all’interessato un’informativa in caso di raccolta di dati che lo riguardano, nella quale indicare:
• le finalità del trattamento cui sono destinati i dati personali,
• la base giuridica del trattamento;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale (se applicabile);
• il periodo di conservazione dei dati personali oppure o i criteri utilizzati per determinare tale periodo.