Il Garante per la protezione dei dati personali ha applicato una sanzione di 50mila euro a un’azienda del settore automotive per aver gestito in modo scorretto le informazioni dei propri dipendenti, incluse quelle sulla salute.
Il provvedimento è scattato a seguito di una segnalazione sindacale, che ha evidenziato una pratica diffusa all’interno dell’azienda: dopo assenze per malattia, infortunio o ricovero, i lavoratori venivano sottoposti a un colloquio accompagnato da un questionario. Il documento, compilato da un diretto responsabile, veniva poi trasmesso all’Ufficio Risorse Umane che con il responsabile e/o con il medico competente valutava, in base a quanto rappresentato dall’azienda, eventuali iniziative a tutela della salute dei lavoratori, a esempio modificando la postazione di lavoro o intervenendo sulle relazioni lavorative.
Nel corso dell’istruttoria il Garante ha però riscontrato numerose violazioni del Regolamento UE (GDPR), tra cui l’assenza di un’informativa chiara e trasparente ai dipendenti e la mancanza di una base giuridica per il trattamento dei dati, anche relativi alla salute. L’Autorità ha inoltre ravvisato una conservazione di dati dei lavoratori non pertinenti (nel caso di assenze dal lavoro) e sproporzionati (fino a dieci anni), e un trattamento di dati non rilevante per valutare le capacità professionali del personale.
Il Garante ha dunque ordinato all’azienda il divieto del trattamento dei dati e la cancellazione di quelli già raccolti e conservati. Nel comminare la sanzione l’Autorità ha tenuto conto della gravità e della durata delle violazioni, del fatto che il trattamento abbia riguardato anche dati sulla salute, del numero di dipendenti coinvolti (circa 890) e del fatturato dell’azienda.
