Consenso del dipendente: sanzione da 150 mila euro dell’Autorità Privacy greca

Con Decisione n° 26/2019, l’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority) ha disposto una sanzione da 150 mila euro – oltre a delle misure correttive – nei confronti della multinazionale PRICEWATERHOUSECOOPERS Business Solutions Limited Liability Business and Accounting Service Provider SA (PWC BS) per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Indice

– La base giuridica del trattamento dei dati personali dei dipendenti
– La violazione del principio di accountability
– Le sanzioni – considerazioni finali

La base giuridica del trattamento dei dati personali dei dipendenti

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati di PWC BS scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

Nella Decisione dell’autorità greca viene effettivamente contestata la correttezza della base giuridica individuata, in quanto il consenso del dipendente non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Il Garante evidenzia, infine, le conseguenze della scelta sbagliata della base giuridica: i dipendenti sono stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso prestato, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.  

La violazione del principio di accountability

Il Garante ha ritenuto che il principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679) – che viene definito come il “nucleo del modello di compliance” privacy – sia stato così violato. Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

Inoltre, è stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa.

L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

Le sanzioni – considerazioni finali

Il Garante ha esercitato i suoi poteri ai sensi dell’art. 58 par. 2 del Reg. UE 2016/679, imponendo delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre, reputando insufficienti le sole misure correttive, ha anche comminato una sanzione amministrativa pecuniaria di 150 mila euro, ai sensi dell’art. 83 del Reg. UE 2016/679, alla luce del fatturato rilevato dai bilanci pubblicati dalla Società.

Ad avviso di chi scrive, la Decisione fornisce importanti spunti per valutare un aggiornamento delle informative privacy fornite sino ad oggi dai titolari del trattamento italiani ai loro dipendenti; ci si chiede se l’interpretazione relativa al consenso del dipendente quale base giuridica in connessione con il principio di accountability adottata dal Garante Greco verrà presto condivisa da altre Autorità privacy in Europa.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)