Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Richiedere il consenso ai propri dipendenti per il trattamento dati personali: una prassi da evitare!

L’Autorità per la protezione dei dati personali greca ha sanzionato una nota multinazionale per la non corretta individuazione della base giuridica per il trattamento dei dati personali dei propri lavoratori

L’Hellenic Data Protection Authority, Autorità per la protezione dei dati personali greca, con Decisione n. 26/2019[1] ha sanzionato negli scorsi mesi una Società operante nel mondo della consulenza per un ammontare complessivo di 150.000 euro.

Il procedimento sanzionatorio originava da una segnalazione presentata da un’organizzazione sindacale locale in cui si evidenziava l’utilizzo da parte del datore di lavoro della base giuridica del consenso per i trattamenti funzionali all’esecuzione del rapporto di lavoro.

Nel concreto, veniva richiesta al dipendente la sottoscrizione di un documento in cui il lavoratore dichiarava che i dati personali da lui forniti fossero direttamente collegati, pertinenti, e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa.

Con l’entrata in vigore del Reg. UE n. 2016/679 (General Data Protection Regulation) la disciplina della protezione dei dati personali è stata armonizzata all’interno dell’Unione Europea: attualmente negli Stati Membri, salvo alcune specificità nazionali, le “regole” da seguire sono le medesime. Da qui l’utilizzabilità di una decisione del Garante Greco, anche in Italia, a livello argomentativo.

La base giuridica del trattamento legittima qualsiasi attività di trattamento dati, ed è richiesta per la liceità della stessa. In conformità a quanto imposto dall’art. 6 GDPR si tratta di uno numero chiuso di casistiche. Il trattamento sarà lecito se:

  1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nello specifico, per “consenso dell’interessato” deve intendersi: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11, GDPR).

Partendo dai precedenti presupposti normativi l’Hellenic Data Protection Authority ha ribadito che il consenso del dipendente non può essere considerato come “liberamente prestato” alla luce del differente potere contrattuale tra le parti. Nella sostanza, il datore di lavoro esercita in qualsiasi caso un potere coercitivo sul proprio lavoratore.

L’Autorità ha poi individuato le legittime basi giuridiche in materia di rapporto di lavoro: il contratto di lavoro con il dipendente, l’adempimento degli obblighi di legge imposti al datore di lavoro e, se presente, il legittimo interesse del Titolare del trattamento.

Precisando che l’individuazione del consenso come base giuridica del trattamento determina a livello applicativo ripercussioni negative spiacevoli: deve essere sempre prevista la revoca dello stesso, da qui la possibilità del dipendente di revocare il consenso per i dati necessari all’esecuzione del rapporto di lavoro.

Si tratta di un’interpretazione seguita a livello internazionale da anni. Evidenziamo, infatti, che già nel 2017 il WP29, parere n. 2/2017 sul trattamento dei dati sul posto di lavoro[2], affermava che il consenso del lavoratore non fosse valido in quanto “espressione di una volontà non libera” poiché il diniego del dipendente “potrebbe causare allo stesso un pregiudizio reale o potenziale” ad opera del datore di lavoro.

In Italia si tratta di un’interpretazione acclarata. Recentemente, tra le molte, in tema del consenso prestato dal dipendente all’installazione di un impianto di videosorveglianza, la Cassazione ha ribadito che “[…] il consenso del lavoratore all’installazione di un’apparecchiatura di videosorveglianza, in qualsiasi forma (scritta od orale) prestato, non vale a scriminare la condotta del datore di lavoro che abbia installato i predetti impianti in violazione delle prescrizioni dettate dalla fattispecie incriminatrice, e dunque la doglianza della ricorrente sul punto si ritiene infondata, non assumendo alcun valore esimente la mancata opposizione dei lavoratori (ritenuta peraltro dalla ricorrente, in via di interpretazione ipotetica, consenso implicito) all’istallazione delle videocamere di cui all’imputazione[3]”.

Ricordiamo, infine, che il Garante Italiano ha specificato, con apposito provvedimento n. 101, del 10 agosto 2018, le linee guida da seguire in materia di trattamento dati dei particolari dei dipendenti[4] ribadendo la non necessarietà del consenso al trattamento, anche per i dati particolari, conferiti per adempiere al contratto di lavoro.

Consigliamo, pertanto, di non utilizzare mai il consenso del dipendente per il trattamento dei dati personali funzionali all’esecuzione del rapporto di lavoro.

[1] https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/ENGLISH_INDEX/DECISIONS/SUMMARY%20OF%20DECISION%2026_2019%20(EN).PDF

[2] https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169

[3] Corte di Cassazione – Sezione Terza Penale, Sentenza 24 agosto 2018, n. 38882.

[4] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9124510