Quando il consenso del dipendente è valido
Il consenso privacy del dipendente è molto spesso inutile ed il trattamento dei dati del dipendente non può essere quasi mai legittimato dal consenso dello stesso. Esistono tuttavia delle eccezioni
Il consenso privacy del dipendente è molto spesso inutile ed il trattamento dei dati del dipendente non può essere quasi mai legittimato dal consenso dello stesso. E’ necessario invocare una base giuridica diversa.
Il concetto in realtà non è neanche nuovo, era già stato sottolineato dall’Opinion 8/2001 del WP29, “il ricorso al consenso dovrebbe limitarsi a quei casi in cui il lavoratore sia effettivamente libero di scegliere e possa successivamente ritirare il proprio consenso senza alcun danno”.
Di medesimo avviso è stato anche il pronunciamento della Opinion 2/2017 del WP29 (WP249) che ha aggiunto che è “estremamente improbabile che il consenso costituisca una base giuridica per il trattamento dei dati sul posto di lavoro”, salvo che sia realmente possibile rifiutarsi di concederlo senza subire conseguenze negative.
I dipendenti si trovano infatti “raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro/dipendente. Salvo in situazioni eccezionali, i datori di lavoro dovranno basarsi su un fondamento giuridico diverso dal consenso, ad esempio la necessità di trattare i dati per un loro legittimo interesse. Tuttavia, un legittimo interesse non è in sé sufficiente per prevalere sui diritti e sulle libertà dei dipendenti.
(…) Nei casi in cui il datore di lavoro affermi di necessitare del consenso del lavoratore ma un eventuale diniego di quest’ultimo potrebbe causare allo stesso un pregiudizio reale o potenziale (situazione molto probabile nei rapporti di lavoro, in particolare se riguarda il tracciamento da parte del datore di lavoro del comportamento del dipendente nel corso del tempo), allora il consenso non è valido in quanto non può essere espressione di una volontà libera. Di conseguenza, per la maggior parte dei casi di trattamento dei dati dei dipendenti, la base giuridica di tale trattamento non può e non dovrebbe essere il consenso dei dipendenti, per cui è necessario invocare una base giuridica diversa.
Inoltre, anche nei casi in cui sia possibile affermare che il consenso costituisca una base giuridica valida per il trattamento (ossia qualora sia possibile concludere senza ombra di dubbio che il consenso sia stato dato liberamente), esso deve essere una manifestazione specifica e informata della volontà del dipendente”.
E’ necessario inoltre ribadire che per consenso deve intendersi un’espressione attiva della volontà, pertanto eventuali impostazioni di default sui dispositivi non possono essere considerati un consenso concesso dai dipendenti. La mancata azione e quindi la mancata modifica delle impostazioni predefinite non può pertanto essere considerata un consenso specifico. E’ il caso dei form di acquisizione del consenso che, soprattutto in passato, venivano forniti con il consenso Privacy già valorizzato, salvo poi concedere la possibilità di modificare lo stesso. Insomma, chi fornisce il consenso dovrà farlo non tacitamente ma mediante un’azione chiara ed inequivocabile (es. firma, flag, verbal order, push on button, click sul link etc)
EDPB
Infine a confermare quanto chiarito dal GDPR, e dalle Opinion del WP29 ci si è messo anche il Comitato Europeo sulla Protezione dei dati (EDPB) nelle sue “Guidelines 05/2020 on consent under Regulation 2016/679”. Ha affermato che vi è uno squilibrio di potere nel contesto occupazionale data la dipendenza che ne risulta dal rapporto datore di lavoro / dipendente ed è improbabile che l’interessato sia in grado di negare il suo consenso al datore di lavoro. Il dipendente proverà paura o percepirà un rischio reale di effetti dannosi a seguito di un rifiuto. È improbabile pertanto che possa rispondere liberamente a una richiesta di consenso del suo datore di lavoro. L’esempio fornito dell’EDPB è relativo all’attivazione dei sistemi di monitoraggio come l’installazione di telecamere sul luogo di lavoro o la compilazione di moduli di valutazione; è’ ovviamente improbabile che il consenso venga fornito liberamente.
Anche il Comitato pertanto afferma che nella maggior parte dei casi “la base lecita non può e non deve essere il consenso dei dipendenti a causa della natura del rapporto”.
Un altro esempio lo fornisce la commissione europea sul suo sito ufficiale dell’Unione Europea ove afferma che deve considerarsi un consenso non valido quello richiesto per installare telecamere finalizzate a controllare l’attività di lavoro: “Il tuo datore di lavoro ritiene che la produttività debba essere migliorata. A tal fine, intende installare delle videocamere CCTV nei corridoi e all’ingresso dei bagni. Ti chiede di dare il tuo consenso, così potrà monitorare i tuoi movimenti e il tempo trascorso fuori ufficio. Anche se dai il tuo consenso, non sarebbe considerato valido e il tuo datore di lavoro non può installare delle videocamere sulla base di tale consenso”
Quando il consenso privacy del dipendente è ammesso
Tuttavia, ciò non significa che i datori di lavoro non possano mai fare affidamento sul consenso privacy del dipendente come base giuridica del trattamento.
Ci possono infatti essere situazioni in cui è possibile per il datore di lavoro dimostrare che il consenso è effettivamente dato liberamente. Dato lo squilibrio di potere, i dipendenti possono fornire liberamente il proprio consenso solo in circostanze eccezionali, allorché non subiscano conseguenze pregiudizievoli dal fatto che abbiano o meno fornito il consenso.
L’esempio ci viene fornito proprio dell’EDPB nelle sue Guidelines. E’ quello di una troupe cinematografica che girerà un video all’interno di un’area dell’ ufficio. Il datore di lavoro potrebbe richiedere a tutti dipendenti che siedono in quella zona il consenso, poiché potrebbero apparire sullo sfondo del video. Coloro che non vogliono essere ripresi non verrebbero penalizzati in alcun modo, a loro sarebbero fornite delle postazioni equivalenti nell’edificio e per la durata delle riprese.
Potrebbero esserci altre circostanze in cui il trattamento dei dati personali fondato sul consenso del dipendente è valido, specialmente se è nell’interesse dello stesso. Un altro esempio lo fornisce la Commissione Europea che sul suo sito internet scrive : “se una società concede benefici al dipendente o ai suoi familiari (ad esempio sconti sui servizi della società), il trattamento dei dati personali del dipendente è consentito e lecito, se è stato fornito previo consenso informato”
In estrema sintesi non è necessario richiedere un consenso privacy del dipendente per utilizzare i dati dello stesso per finalità connesse all’instaurazione e gestione del rapporto di lavoro essendo perlopiù obblighi imposti dalla legge e strettamente connessi all’attività di lavoro (es. raccolta documenti di identità, curriculum vitae, elaborazione cedolini, raccolta dati dei familiari a carico, dati reddituali per esigenze fiscali, detrazioni di lavoro etc). In tali casi è solo necessario fornire l’informativa privacy e dimostrare di averla fornita.
E’ bene per ora aver chiarito che il consenso non è per nulla scontato, soprattutto nei rapporti di lavoro.
Sul tema “consenso nei rapporti di lavoro” vedi anche:
Altalex: Consenso-come-base-giuridica-del-trattamento-nei-rapporti-di-lavoro