È illecita l’affissione nella bacheca aziendale di dati personali relativi alle valutazioni dei lavoratori.
Nota a Garante della Privacy, 13 dicembre 2018, n. 500
Fabrizio Girolami
Il Garante per la protezione dei dati personali, con provvedimento n. 500 del 13 dicembre 2018, ha affrontato il delicato tema del trattamento dei dati personali nell’ambito del rapporto di lavoro, applicando i principi recentemente introdotti dal Regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, applicabile in ciascuno degli Stati membri dell’Unione europea a decorrere dal 25 maggio 2018 e le cui disposizioni di adeguamento nell’ordinamento nazionale sono state previste dal D.LGS. 10 agosto 2018, n. 101).
Nel caso di specie, alcuni soci lavoratori di una società cooperativa a responsabilità limitata operante nel settore della logistica (pulizie, facchinaggio, traslochi) avevano inoltrato, per il tramite del proprio legale, apposita segnalazione al Garante lamentando che la società aveva effettuato, nella sua qualità di “titolare”, un’illecita operazione di trattamento di dati personali dei dipendenti attraverso l’affissione, nella bacheca aziendale, di un cartellone – denominato “Guardiamoci in faccia…soci!” – contenente l’elenco dei lavoratori (identificati con fotografia, cognome e iniziale del nome), le relative valutazioni sul rendimento lavorativo, nonché le informazioni relative ad addebiti disciplinari e le motivazioni dell’assenza. A fianco di ciascun nominativo e foto erano altresì affisse immagini grafiche (sei “faccine” o “smile”) con le quali, anche attraverso il rinvio ad una apposita “legenda” predefinita (“Faccinario 2018”), la società procedeva ad esprimere un giudizio di sintesi (positivo o negativo) sull’operato dei dipendenti.
Tale attività era stata operata nell’ambito di un vero e proprio “concorso a premi” (disciplinato da un regolamento interno della società), finanziato tramite autotassazione dei soci lavoratori, al fine di incentivare i dipendenti al raggiungimento degli obiettivi di qualità ed efficienza dei servizi resi alla clientela. Il regolamento interno prevedeva, tra l’altro, il potere del consiglio di amministrazione (CdA) della società di valutare una volta alla settimana il comportamento lavorativo dei soci (con esiti pubblicati sul planning generale affisso nelle bacheche della sede) mediante assegnazione di una “faccina” di vari colori e con diverse espressioni atte a far percepire con immediatezza se il giudizio sul comportamento fosse positivo o negativo (con assegnazione di un premio o di un addebito effettuato mediante prelievo mensile dalla busta paga della quota di partecipazione).
Il Garante, all’esito dell’istruttoria espletata, ha censurato il comportamento della società, in quanto non conforme ai principi previsti dalla vigente normativa europea e interna in materia di trattamento dei dati personali, per le considerazioni di seguito esposte.
In primo luogo, il Garante osserva che – in base all’ordinamento vigente – il datore di lavoro è legittimato a trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro, nel rispetto di quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale (cfr. artt. 5, par.1, lett. a) e c) e 6, par.1, lett. b) e c), Regolamento (UE) 2016/679). In particolare, rientra, tra le prerogative del datore di lavoro, la facoltà di trattare i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore.
Tuttavia, secondo il Garante, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti (ed eventuali terzi visitatori) non appare lecita, in quanto tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.
Il Garante rileva altresì che le operazioni consistenti nella regolare affissione in bacheca delle valutazioni e delle contestazioni disciplinari riferite a ciascun dipendente, unitamente alla dettagliata descrizione dei rilievi (positivi e negativi) effettuati, non risultano “adeguate” e “pertinenti” rispetto agli scopi dichiarati dalla società (consistenti, come si è detto, nella incentivazione dei dipendenti al raggiungimento degli obiettivi di qualità ed efficienza dei servizi resi alla clientela) che ben potevano essere perseguiti con modalità che non comportassero il sacrificio del diritto alla riservatezza degli interessati (art. 5, par.1, lett. c), Regolamento (UE) 2016/679).
Inoltre, le informazioni concernenti valutazioni e contestazioni disciplinari rivestono particolare delicatezza in quanto incidenti sulla sfera di dignità professionale del dipendente, con conseguente lesione della sua dignità personale, libertà e riservatezza.
Pertanto, il trattamento effettuato dalla società risulta illecito in quanto non rispettoso dei “principi applicabili al trattamento di dati personali” stabiliti dall’art.5 del Regolamento (UE) 2016/679 e, in particolare, con:
- il principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a)), in virtù del quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- il principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c)), secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non poteva costituire, secondo il Garante, una base giuridica idonea a legittimare il trattamento di dati personali. Ciò in considerazione della fisiologica sussistenza di un’asimmetria tra le parti del rapporto di lavoro, cui consegue la necessità di accertare, di volta in volta e in concreto, l’effettiva libertà del consenso espresso; inoltre, il consenso prestato dai soci avrebbe potuto unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.
All’esito di tale articolato iter argomentativo, il Garante ha ritenuto illecito il trattamento effettuato dalla società cooperativa attraverso la pubblicazione in bacheca di dati personali relativi a contestazioni disciplinari e valutazione dei soci lavoratori in violazione dell’art. 5, par.1, lett. a) e c) del Regolamento (UE) 2016/679 e, ai sensi dell’art. 58, par. 2, lett. f) del medesimo Regolamento, ha prescritto il divieto di ulteriore trattamento, secondo le modalità oggetto di segnalazione, dei predetti dati.