La base giuridica corretta per trattare i dati dei dipendenti non è il consenso, ma sono i contratti di lavoro e le leggi: lo ha stabilito il Garante della Privacy greco, sanzionando in base al GDPR un’azienda che, invece, aveva chiesto ai dipendenti il consenso per trattare i loro dati. Richiesta che, secondo il Garante, è illegittima da parte di un datore di lavoro, anche in considerazione del peculiare rapporto con i dipendenti, che si trovano in una situazione subordinata e di conseguenza il consenso non è considerato una libera scelta. La sanzione per l’azienda è stata pari a 150mila euro.
No al consenso per i dipendenti
Il punto fondamentale, rilevante per tutte le aziende, è che non si può chiedere ai dipendenti il consenso al trattamento dei dati. Che, invece, vanno sempre e comunque gestiti in base alle regole, che esistono, fissate dai contratti e dalle leggi sul lavoro. Da sottolineare che il motivo della multa, come si vede molto salata, è da ricondursi a una serie di motivazioni, fra cui quella relativa alla responsabilizzazione dell’azienda nei confronti dei dati dei dipendenti.
=> GDPR: Garante Privacy a supporto delle imprese
Per dirla in termini più tecnici, all’azienda è stata contestata la violazione dell’articolo 5 del GDPR (il regolamento europeo sulla protezione dei dati), che stabilisce appunto i principi applicabili al trattamento dei dati (liceità, correttezza e trasparenza, limitazione delle finalità, adeguati e pertinenti, in base al concetto della minimizzazione dei dati, esattezza). Si tratta di un rilievo importante, perché come si vede l’articolo 5 è relativamente generico, fissando principi di base, che in base a questa pronuncia escludono la possibilità di un datore di lavoro di chiedere il consenso ai dipendenti. E, in particolare, la multa è stata stabilità in applicazione del comma 2 dell’articolo 5, che prevede la responsabilizzazione del titolare del trattamento, il quale è competente per il rispetto di tutti i principi sopra riportati.
Il datore di lavoro in questione da una parte non ha presentato al Garante la documentazione relativa all’adeguamento privacy, dall’altra ha chiesto ai dipendenti un consenso che, come detto, non è in alcun modo previsto dal GDPR (in quanto non applicabile al rapporto di lavoro). Quindi, secondo il parare dell’Authority ellenica, il datore di lavoro è venuto meno al dovere di responsabilizzazione.