Con questo recente provvedimento, il Garante è intervenuto su un singolare trattamento di dati personali di lavoratori.
Alcuni soci di una cooperativa hanno infatti segnalato all’Autorità l’esistenza di un programma aziendale lesivo del diritto alla riservatezza e dignità personale dei medesimi: la cooperativa è stata accusata di divulgare informazioni confidenziali attinenti al rapporto di lavoro mediante l’uso della bacheca aziendale. Tale indiscriminata messa a disposizione è avvenuta nel contesto di un concorso a premio realizzato annualmente dall’azienda e finalizzato, come si legge dagli atti dell’istruttoria, ad incrementare la qualità del lavoro, l’attenzione verso il cliente, l’immagine aziendale, il rispetto delle procedure e dei processi produttivi, oltre la crescita professionale individuale. Tale concorso, obbligatorio per tutti i soci e da essi finanziato, implicava tra le altre cose l’affissione in bacheca aziendale di un elenco recante l’indicazione dei soci, individuati mediante iniziale del nome, cognome e fotografia, affiancato da emoticons che, esprimevano il giudizio positivo o negativo sull’operato del soggetto, unitamente alla relativa motivazione (es. assenteismo, mancata risposta telefonica, mancata restituzione tessera carburante, o al contrario complimenti del cliente, disponibilità al lavoro al sabato etc.). In caso di giudizio negativo, oltre alla pubblica gogna, vi sarebbe stata poi anche una decurtazione dallo stipendio.
Come osservato dal Garante all’esito dell’istruttoria, le operazioni poste in essere dalla cooperativa vanno ad integrare a tutti gli effetti un vero e proprio trattamento di dati personali, peraltro illecito sotto molteplici profili.
Il primo aspetto attiene chiaramente al consenso, il quale difetta completamente, e che non puo’ certamente considerarsi implicito nell’accettazione del regolamento del concorso (la cui partecipazione era peraltro obbligatoria).
Tra l’altro, anche laddove vi fosse stata la prestazione del consenso di ciascun lavoratore, tale manifestazione di volontà non avrebbe potuto costituire base giuridica idonea a legittimare il trattamento di dati personali.
Il GDPR sul punto è chiaro, laddove agli articoli 6 e 7 detta precise regole per la liceità del trattamento e le condizioni del consenso.
Come è noto, il trattamento è lecito solo in presenza di un adeguato fondamento, che puo’ consistere nel consenso dell’interessato, nel legittimo interesse del titolare, nell’adempimento di un obbligo di legge, nell’esecuzione di un contratto, nella salvaguardia di interessi vitali, o nell’esecuzione di compiti di interesse pubblico.
Qualora il trattamento sia fondato sul consenso dell’interessato, il titolare deve essere in grado di dimostrare che il suddetto consenso sia stato effettivamente prestato. Inoltre, nel caso in cui quest’ultimo sia rilasciato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Il consenso deve peraltro essere libero e sempre revocabile. Infine, per valutare se esso sia stato liberamente prestato, occorre tener conto dell’eventualità che l’esecuzione del contratto, sia condizionata alla prestazione del consenso medesimo.
I Considerando 42 e 43 del GDPR precisano ulteriormente tali aspetti.
Il legislatore europeo sottolinea, in particolare, che nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di prestare un consenso e della misura in cui cio’ avviene. Inoltre, il consenso non dovrebbe essere considerato liberamente prestato laddove l’interessato non sia in grado di operare una scelta autenticamente libera o sia nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. Libertà che, come si comprende agevolmente, nel caso di specie non sussiste.
In aggiunta, per assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento.
Tale squilibrio, come precisato anche dal Gruppo di Lavoro Articolo 29 nelle Linee Guida sul consenso del 2018, sussiste tipicamente nel rapporto di lavoro, proprio come nel caso di specie. Né modifica i termini della questione, secondo il Garante, la circostanza che il trattamento dei dati riguardi i soci e non anche i dipendenti semplici della cooperativa.
Con specifico riguardo ai rapporti di lavoro, ricordiamo tra l’altro che il datore di lavoro può trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro unicamente in base a quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale. Tra queste rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore. Certamente, pero’, non appare lecita la divulgazione di tali informazioni posto che i soggetti estranei al rapporto di lavoro non sono legittimati, su alcuna base, a conoscere tali dati.
In aggiunta va posto l’accento sulla circostanza che le suddette informazioni, relative a valutazioni e contestazioni disciplinari, sono particolarmente delicate, specialmente in caso di valutazioni negative, in quanto incidono sulla dignità professionale del dipendente. Si tenga anche conto che le medesime sono affisse in bacheca prima della conclusione del procedimento e comunque in assenza di controdeduzioni degli interessati.
Da ultimo, va anche osservato che l’affissione in bacheca delle valutazioni e delle contestazioni disciplinari riguardanti i singoli soci, unitamente alla dettagliata descrizione di ciascuna situazione, appare del tutto sproporzionata e inadeguata rispetto agli scopi illustrati dalla società e sopra riportati.
I trattamenti sono dunque da considerare illeciti, con conseguente divieto utilizzo dei dati personali.
