NEWS

Datore di lavoro crea una black list con le valutazioni sui dipendenti senza coinvolgere il Data Protection Officer

Da tempo molti dipendenti si lamentavano di umilianti violazioni della loro privacy e della invasiva sorveglianza a cui sarebbero stati sottoposti sul posto di lavoro, molestie che sarebbero sconfinate fino al divieto di andare alla toilette, e addirittura alla creazione di un registro in cui la società descriveva i propri dipendenti in modo denigratorio classificandoli come "critici" o "molto critici", e valutando tagli salariali in base alle informazioni riportate in tale black-list, che comprendeva anche dati sensibili "sulla salute dei singoli dipendenti o sul loro interesse in un comitato aziendale".

La vicenda era finita perfino sulle pagine del quotidiano Der Spiegel, ed era praticamente divenuta di dominio pubblico, eppure il Data Protection Officer non era mai stato coinvolto dalla direzione aziendale.

Fino a quando il Garante per la protezione dei dati e la libertà d'informazione di Berlino (BlnBDI), dopo aver analizzato le notizie pubblicate dai giornali e dopo aver ricevuto anche una denuncia personale da uno dei lavoratori riguardati dalle vessazioni, aveva avviato un'indagine sulla Humboldt Forum Service GmbH, società in house di proprietà al 100% della Fondazione Humboldt Forum nel Palazzo di Berlino, che si occupa della sicurezza e dei servizi infrastrutturali essenziali per il funzionamento del noto museo tedesco.

Nel corso dell’indagine, l’autorità appurava che in effetti il datore di lavoro aveva istituito un registro in cui classificava tutti i dipendenti con tali criteri driscriminatori, e tra i dati sulla salute dei lavoratori vi erano perfino informazioni sulla loro partecipazione a sedute di psicoterapia. Inoltre, nel periodo di prova, le spietate valutazioni dei neo assunti venivano inserite in una colonna a margine di una tabella del registro dal titolo “motivo”.

Preso atto del trattamento di dati personali in violazione degli articoli 5,6 del GDPR, lo scorso 2 agosto l’autorità tedesca infliggeva quindi sanzioni alla Humboldt Forum Service GmbH per varie infrazioni per un totale di 215.000 euro, di cui 40.000 euro per la tardiva segnalazione di un data breach, la mancata menzione dell'elenco nel registro dei trattamenti, e per il mancato coinvolgimento del Data Protection Officer che, come previsto dall’art.38 del Regolamento UE sulla protezione dei dati personali avrebbe dovuto essere consultato prima della creazione dell'elenco.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Dall'EDPB due nuovi pareri per un uso equo e proporzionato dei dati personali in pagamenti digitali e servizi finanziari
Next In vigore il Digital Services Act

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy