DLP Insights

Pubblicare nella bacheca aziendale le valutazioni sull’operato dei dipendenti è considerato trattamento illecito di dati

Categorie: DLP Insights, Giurisprudenza | Tag: Garante Privacy, GDPR

23 Giu 2022

Su segnalazione di un gruppo di soci lavoratori di una società cooperativa, l’Autorità Garante per la protezione dei dati personali (il “Garante”) accertava l’illiceità di alcuni trattamenti effettuati mediante la pubblicazione, nella bacheca aziendale, di informazioni relative alle valutazioni sul loro operato.

In particolare, nell’ambito di un “concorso a premi per i soci lavoratori, dal titolo «Guardiamoci in faccia…soci!» con l’intento di incentivare i soci più meritevoli e […] disincentivare i disservizi” la società cooperativa era solita condividere settimanalmente le valutazioni dei destinatari utilizzando faccine (c.d. “emoticon”) accompagnate da giudizi di sintesi (quali a titolo esemplificativo, “assenteismo”, “simulazione malattia”) posti accanto all’immagine e al nominativo di ciascuno. Tali informazioni erano visibili non solo dal lavoratore interessato ma da chiunque accedesse ai locali all’interno dei quali era posta la bacheca aziendale, ivi inclusi i soggetti esterni occasionalmente presenti in sede, ed erano finalizzate a premiare, in denaro, i primi tre classificati.

Gli accertamenti effettuati dal Garante appuravano l’illiceità dei trattamenti per violazione dei principi fondamentali di liceità, correttezza e trasparenza nonché di minimizzazione dei dati. L’Autorità, infatti, se da un lato confermava che il datore di lavoro può trattare lecitamente le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro – ivi compresi i dati necessari ad effettuare una valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare (nei modi e con i limiti previsti dalla disciplina di settore) – dall’altro rilevava che la sistematica messa a disposizione di tali informazioni mediante affissione sulla bacheca permetteva un trattamento di dati a soggetti (quali altri colleghi o terzi) non legittimati a conoscere informazioni inerenti a valutazioni e rilievi disciplinari.

Inoltre, il Garante confermava che la raccolta del consenso, in circostanze come quelle oggetto di verifiche, non può essere considerata una base giuridica idonea a legittimare il trattamento di dati personali. Ciò in quanto l’asimmetria tra le rispettive parti del rapporto di lavoro non può presupporre un consenso prestato in maniera espressa, libera e specifica e riferito ad un trattamento specificatamente individuato. Il consenso prestato al momento dell’approvazione del deliberato assembleare, come invece sostenuto dalla società, è “funzionalmente diverso” dal consenso ai trattamenti effettuati dalla società in relazione alle valutazioni sull’operato dei soci.

Per tutti questi motivi, il Garante confermava che “[…] sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale” lede aspetti quali quelli della dignità personale, della libertà e della riservatezza dei lavoratori.

◊◊◊◊

Avverso il provvedimento del Garante, la società ha proposto ricorso prima innanzi al competente Tribunale e poi innanzi alla Corte di Cassazione. Quest’ultima, con sentenza 17911/2022, pubblicata lo scorso 1° giugno, ha rigettato il ricorso – confermando quanto sostenuto dal Garante – e riaffermato il principio secondo cui “la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio di portata generale rileva e prevale in ogni rapporto.

Altri insights correlati:

Altri insights