15/12/2023

Nessun riscontro a istanze dipendenti, il Garante multa Autostrade e Amazon trasporti

I titolari del trattamento devono sempre consentire l’esercizio dei diritti previsti dalla normativa privacy. Il Garante ha sanzionato Autostrade per l’Italia e Amazon Italia Transport, rispettivamente per 100 mila e per 40 mila euro, per non aver dato tempestivo e motivato riscontro, neppure di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti. 

Il primo provvedimento trae origine dai reclami di 50 dipendenti che si erano rivolti ad Autostrade chiedendo di aver accesso ai propri fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga stesse senza ottenere alcuna risposta.

Alla richiesta di spiegazioni del Garante, la società aveva risposto di non aver dato riscontro alle istanze per non compromettere il proprio diritto di difesa in giudizio. Tra la società e i lavoratori, infatti, erano in corso diversi procedimenti giudiziari riguardanti l’accantonamento e le modalità di calcolo della liquidazione.

La società, inoltre, affermava che i dipendenti avrebbero potuto conoscere i propri dati retributivi accedendo in autonomia alla piattaforma informatica dedicata.

L’Autorità ha ritenuto, invece, che Autostrade avrebbe dovuto comunque rispondere alle istanze dei dipendenti, precisando il motivo del diniego nonché la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria. La società, inoltre, avrebbe dovuto fornire riscontro anche riguardo ai dati già nella disponibilità dei lavoratori, indicando loro la piattaforma informatica attraverso cui accedere alle informazioni richieste.

Il Garante, pertanto, ha ingiunto ad Autostrade di fornire completo riscontro alle istanze dei reclamanti e per le violazioni riscontrate ha comminato alla società una sanzione di 100mila euro.

Nel caso di Amazon, l’Autorità è intervenuta a seguito del reclamo di un ex dipendente che aveva lamentato il mancato riscontro della società alla richiesta volta ad ottenere copia dei documenti riferiti al proprio rapporto di lavoro.

Alla richiesta di informazioni del Garante, la società aveva risposto di non aver dato riscontro all’istanza perché redatta in maniera molto ampia e generica. Aveva in seguito inviato copia dei documenti richiesti all’ex dipendente, ma solo dopo l’avvio dell’istruttoria del Garante, e comunque quasi sei mesi dopo il termine dei trenta giorni previsto dal Regolamento europeo in materia di privacy. L’Autorità, ricordando ad Amazon che avrebbe dovuto comunque rispondere tempestivamente all’istanza dell’ex dipendente, eventualmente chiedendo di dettagliare i dati ai quali voleva accedere, ha irrogato alla società una sanzione di 40mila euro.

Sanità: Il Garante Privacy sanziona società di formazione
On line dati sanitari di un ragazzo tra il materiale di un corso per medici

Scopre che i propri dati personali e le informazioni relative alla salute e alle indagini giudiziarie riguardanti il figlio deceduto (biografia, perizie psichiatriche, anamnesi, medicinali assunti, reati per i quali era indagato) erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri. Si rivolge al Garante Privacy che sanziona con una multa di 18mila euro la società organizzatrice del corso.

I documenti facevano parte del materiale didattico utilizzato per illustrare ai medici la particolare patologia di cui soffriva il ragazzo. Il materiale – messo a disposizione dei partecipanti tramite un link inviato per email alla fine del corso – risultava inoltre accessibile online da chiunque conoscesse l’Url.

Nel provvedimento sanzionatorio, il Garante, oltre a ribadire che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica adeguate a garantire in via permanente la riservatezza dei dati trattati. Oltre a verificare l’adeguatezza delle misure di anonimizzazione adottate sui dati personali della reclamante e del figlio deceduto, la società avrebbe dovuto, ad esempio, impiegare una procedura di autenticazione informatica per consentire l’accesso alla documentazione soltanto ai medici che avevano frequentato il corso formativo.

Il Garante, pur considerando che il link di accesso alla documentazione era stato prontamente rimosso, ha irrogato alla società una sanzione di 18mila euro per trattamento illecito di dati personali sanitari e giudiziari.

Condominio: no a sistemi di videosorveglianza senza delibera dell’assemblea
Sanzione di 1.000 euro a un amministratore

Il Garante privacy ha comminato una sanzione di 1.000 euro a un amministratore di condominio che aveva installato un sistema di videosorveglianza senza la delibera dell’assemblea condominiale. La delibera condominiale rappresenta infatti il presupposto di liceità del trattamento realizzato mediante telecamere. Nel caso oggetto del provvedimento, i condomini erano stati avvisati dell’installazione delle telecamere con una e-mail.

Dall’istruttoria del Garante, avviata a seguito di un reclamo di un condomino, era risultato che presso il condominio era stato istallato un sistema di videosorveglianza composto da due telecamere, posizionate all’esterno dell’edificio, il cui angolo di visuale era esteso all’area destinata al parcheggio e al cancello di accesso, con parziale visione della strada pubblica. L’informativa che avvertiva della presenza delle telecamere per quanto fosse segnalata da alcuni cartelli era priva dell’indicazione del titolare del trattamento. Il dispositivo poi, oltre a riprendere le immagini, consentiva di visualizzarle mediante un telefonino in possesso dell’amministratore.

Nelle sue memorie difensive l’amministratore aveva dichiarato che, essendo i condomini concordi nella necessità di provvedere all’installazione di un impianto di videosorveglianza per far fronte ai continui danneggiamenti che si verificavano nell’area antistante il condominio, aveva installato l’impianto in via d’urgenza, riservandosi di adottare la delibera condominiale alla prima occasione utile.

Nel suo provvedimento di sanzione l’Autorità ha ricordato che, laddove i condomini siano d’accordo sulla tutela degli spazi comuni, per procedere all’installazione delle telecamere è necessaria una delibera condominiale a cui l’Amministratore deve dare esecuzione. La delibera è infatti lo strumento attraverso cui i condomini concorrono a definire le caratteristiche principali del trattamento, andando a individuare le modalità e le finalità del trattamento stesso, i tempi di conservazione delle immagini riprese, l’individuazione dei soggetti autorizzati a visionare le immagini. In assenza della delibera condominiale, adottata come richiesto dal codice civile a maggioranza, il trattamento non può essere correttamente imputato al condominio, con conseguente attribuzione della qualifica di titolare all’Amministratore. Il trattamento effettuato dall’amministratore è quindi risultato illecito e ha determinato l’applicazione della sanzione.

Sanzioni a due Comuni per uso illecito delle registrazioni di un colloquio

Il Garante privacy ha sanzionato due Comuni per uso illecito delle registrazioni audio-video di un colloquio intercorso presso un Comando di Polizia Locale.

L’Autorità è intervenuta a seguito del reclamo di un dipendente di un Comune della provincia di Brescia, all’epoca Vice Commissario di Polizia Locale che si era recato presso gli uffici del Comando di Polizia Locale di un altro Comune e lì aveva avuto un colloquio con un agente su questioni lavorative e condizioni di lavoro.

La Comandante della polizia locale del Comune presso cui lavorava il reclamante aveva chiesto ed ottenuto dall’altro Comune le registrazioni audio-video di tale colloquio, riprese dalla telecamera posta all’interno del Comando, facendo riferimento ad una non meglio precisata indagine di polizia giudiziaria.

Le registrazioni erano state usate per infliggere una sanzione al Vice Commissario che si era poi dimesso. In seguito, il dipendente era deceduto ma il Garante, considerata la gravità dell’accaduto, ha proseguito l’istruttoria d’ufficio.

L’Autorità ha ribadito che il datore di lavoro può trattare i dati personali dei dipendenti solo se ciò è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.

Il Garante ha quindi ritenuto illeciti la trasmissione e l’uso delle registrazioni utilizzate per infliggere la sanzione disciplinare, perché privi di una idonea base giuridica. In particolare, l’Autorità ha rilevato la sproporzione dell’acquisizione dell’audio tramite dispositivi di videosorveglianza, con il rischio di “carpire” informazioni sulle opinioni, relazioni o vicende private dei lavoratori o su fatti comunque non rilevanti nell’ambito del rapporto di lavoro.

Diverse le violazioni contestate, tra cui il mancato rispetto della disciplina di settore in materia di controlli a distanza dei lavoratori, la raccolta di dati non attinenti all’attività lavorativa, la mancanza di trasparenza nei confronti degli interessati, l’illecita comunicazione dei dati personali del reclamante da un Comune all’altro, la mancata valutazione di impatto in relazione al sistema di videosorveglianza, la violazione del principio di limitazione della conservazione dei dati. Entrambi i Comuni sono stati sanzionati tenendo conto della gravità degli illeciti, ma anche delle loro modeste dimensioni.

Il Comune che ha raccolto i dati mediante il sistema di videosorveglianza e poi ha trasmesso la registrazione audio video è stato sanzionato per 50.000 euro e a quello che l’ha richiesta e l’ha utilizzata per fini disciplinari è stata applicata una multa di 20.000 euro.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9963533