Una società manifatturiera è stata sanzionata perché faceva uso di dati dei lavoratori raccolti tramite il sistema di gestione della produzione, senza fornire ai lavoratori stessi un’adeguata informazione.
Il caso citato nel provvedimento del Garante è emblematico dell’intreccio che si viene spesso a creare negli ambienti di lavoro: per fare funzionare l’azienda (l’ufficio o lo studio, in questo caso per gestire la produzione), vengono raccolti i dati di macchinari e fasi di produzione unitamente ai dati del lavoratore coinvolto.
Dal momento che ogni dato riferito ad una persona identificata ed identificabile è un dato personale, come statuito dall’art. 4 del GDPR 2016/679, l’azienda avrebbe dovuto raccogliere e trattare questi dati in conformità con il Regolamento.
Pertanto era necessario definire la finalità ed un adeguata base giuridica per trattare i dati, ma soprattutto informare i lavoratori circa il trattamento con un’apposita informativa, oltre a definire le adeguate ed opportune misure di sicurezza.
L’azienda è stata oggetto di un provvedimento del Garante con la quale si rileva l’illiceità del trattamento, quindi si impone la limitazione definitiva del trattamento e si lasciano 60 gg. di tempo per conformare il trattamento al GDPR.
Infine si infligge la sanzione amministrativa pecuniaria di 40.000 Euro.