NEWS

Il consenso dei lavoratori a volte non basta, multa di 150mila euro del Garante greco a una grande società

I dati dei lavoratori non si trattano in base al loro consenso. Se si segue questa strada (sbagliata), al datore di lavoro può arrivare una sanzione molto salata. Come è successo a una grande società (Price Waterhouse Business Solution), sanzionata dal Garante della privacy greco a pagare 150 mila euro. Il provvedimento, n. 26/2019, si segnala anche per un altro motivo. Il Garante greco ha sanzionato per la violazione dell'articolo 5 del Gdpr, che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale, anche quando non si accerta la violazione di una norma specifica.


Ma vediamo il dettaglio del provvedimento dell'autorità di controllo ellenica, la quale, proprio perché applica il Gdpr, esprime principi potenzialmente estensibili in qualunque stato si applichi il Gdpr.

Al Garante greco, dunque, è giunta una segnalazione, secondo cui ai dipendenti di una grossissima società è stato chiesto di fornire il consenso al trattamento dei loro dati personali. A seguito dell'istruttoria del caso, il Garante ha stabilito che la richiesta del consenso ai dipendenti era illegittima, scorretta e non trasparente alla luce del disposto dell'articolo 5 del Gdpr.

Il datore di lavoro, si legge nella sintesi del provvedimento, pubblicata sul sito dell'autorità ellenica, ha dato ai dipendenti la falsa impressione che stesse trattando i loro dati secondo la base giuridica del consenso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale, tra l'altro, i dipendenti non erano mai stati informati.

Ma perchè il consenso non va bene? Lo spiega la decisione.

Il dipendente si trova in una situazione subordinata e di soggezione al potere direttivo del datore di lavoro, cosicchè il consenso non può considerarsi essere stato eventualmente rilasciato liberamente, considerato lo squilibrio di forza rispetto al titolare del trattamento. Chiediamoci, infatti, se il lavoratore possa effettivamente revocare il consenso prestato e con che effetti. Si tratta di una situazione assurda, certamente non gestibile, e comunque non in linea con le norme sulla privacy.

Il Garante greco dopo avere accertato le violazioni del GDPR, non solo ha applicato la sanzione pecuniaria, ma ha anche esercitato i poteri correttivi previsti dall'articolo 58 Gdpr. Entro tre mesi, dunque, la società si deve mettere a posto, regolarizzare i trattamenti, e aggiungiamo rifare le informative, inserendo la corretta base giuridica.

A questo proposito si ricorda che nell'ambito del rapporto di lavoro la base giuridica non è il consenso, ma il contratto individuale di lavoro o la legge (ad esempio quelle in materia di adempimenti fiscali, previdenziali, contabili o collegati alla sicurezza sul lavoro).

Questo significa che il datore di lavoro deve chiedersi quale sia la fonte diversa dal consenso in base alla quale possa trattare i dati dei suoi dipendenti ed attenersi alle condizioni previste da tale base giuridica.
Ma come detto, il Garante ha anche applicato una sanzione, ammontante a 150 mila euro.

Tra le disposizioni di cui il Garante greco ha constatato la violazione c'è anche l'articolo 5, paragrafo 2, Gdpr dedicato alla cosiddetta “accountability” o responsabilizzazione. Anche qui la pronuncia desta più di una attenta riflessione.

Il Garante greco ha punito la società per il fatto di non avere agli atti aziendali la documentazione relativa all'adeguamento privacy. Inoltre il fatto di avere chiesto ai dipendenti di sottoscrivere un atto, con il quale essi riconoscevano che i trattamenti erano riconducibili a finalità connesse all'organizzazione e gestione del rapporto di lavoro, è stata ritenuta una prova della violazione della assenza di responsabilizzazione.

Da quest'ultima notazione deriva un monito: il datore di lavoro deve costruirsi un modello organizzativo privacy, nel quale raccogliere gli atti di documentazione delle scelte effettuate e degli adempimenti realizzati.

Fonte: Italia Oggi del 3 agosto 2019 - Articolo di Antonio Ciccia Messina

Note sull'Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Posta elettronica e dati nella memoria del computer acquisibili con le forme del sequestro probatorio
Next Violazione di segreti industriali, maxi condanna per l'ex manager

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy