GDPR e consenso dei lavoratori

Fino a che punto il GDPR ammette che si possa chiedere il consenso dei lavoratori al trattamento dei loro dati personali? Il peccato originale dei consensi insensati al lavoro lo troviamo già all’interno delle richieste relative al CV e della gestione dei candidati. Qui già il corretto ragionare giuridico ha ceduto il passo al sonno della ragione, seguendo la tentazione che sussurra: per sicurezza, chiediamo il consenso che non si sa mai. E così si finisce a chiedere al lavoratore il consenso al trattamento dei dati personali con una firma separata all’interno della lettera di assunzione, o nel caso di installazione di un impianto di videosorveglianza o per altre ipotesi ancora più fantasiose.

Il tutto avviene in totale spregio al concetto di accountability, che non può né deve avere alcun valore cosmetico espresso da asserzioni quali: nel più c’è il meno, bensì consiste nella rendicontazione ed esecuzione di un ragionamento logico-giuridico.

Non sempre è un concetto semplice da digerire per i titolari.

Quale base giuridica applicare alle attività di trattamento sui dati dei lavoratori?
Nella maggior parte dei casi, va ricercata in una fra:
esecuzione contratto o misure precontrattuali (art. 6.1 lett. b) GDPR);
adempimento obblighi legali (art. 6.1 lett. c) GDPR);
legittimo interesse (art. 6.1 lett. f) GDPR).

Attenzione però: la base giuridica non deve essere confusa con una delle condizioni ulteriori richieste dall’art. 9.2 GDPR che va indicata in aggiunta al fondamento di liceità di cui all’art. 6 GDPR.

Nella maggior parte dei casi riguardanti il contesto lavorativo opererà la condizione indicata dall’art. 9.2 lett. b) GDPR: “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;”.

Nelle ipotesi di trattamento dei dati dei lavoratori per cui una base giuridica già esiste che senso ha dunque aggiungere un consenso? Anche perchè non è soltanto inutile, bensì illecito.

Libertà del consenso dei lavoratori

Dato che per essere valido il consenso deve consistere in una manifestazione di volontà libera, informata ed inequivocabile da parte dell’interessato nei confronti di una specifica attività di trattamento dei dati personali, la particolare difficoltà di impiegare questa base giuridica all’interno del contesto lavorativo sta proprio nel comprovarne l’elemento della libertà.

“Lo squilibrio di potere sussiste anche nel contesto dell’occupazione. Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di monitoraggio, quali la sorveglianza con telecamere sul posto di lavoro, o alla compilazione di moduli di valutazione.”

( Linee guida EDPB 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 )

E attenzione: da un consenso non libero deriva una violazione diretta dell’art. 7 GDPR:

“Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.” ( art. 7.1 GDPR)

che letto in ottica di accountability richiede per l’appunto la rendicontazione di come il consenso acquisito sia valido e dunque: libero, informato, inequivocabile e specifico. E revocabile, ovviamente.
In caso contrario ecco che si realizza almeno un illecito. Per non parlare poi delle conseguenze che ha indicare una base giuridica sui diritti esercitabili dall’interessato e sulle informazioni che devono essere rese. Ma non parliamone ora per non andare Off-Topic.

Cosa fare? Semplice: bisogna ragionare nel senso di dover superare – dimostrando in modo non apodittico – una presunzione di non libera prestazione del consenso da parte del lavoratore.

Uno spunto a riguardo è offerto proprio dallo stesso art. 7 GDPR:

“Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.” (art. 7.4 GDPR)

per cui, riformulando il ragionamento, è necessario innanzitutto separare le attività svolte sui dati che sono necessarie per dare esecuzione al rapporto di lavoro e adempiere agli obblighi di legge. Fatto ciò, si ritrovano alcune attività su cui si può ragionare sulla possibile applicazione della base giuridica del consenso, con alcune accortezze.

Mai dire mai

Mai dire mai, dunque. E infatti anche l’EDPB conferma che secondo il GDPR acquisire il consenso dei lavoratori è possibile come eccezione.

“Tuttavia, ciò non significa che il datore di lavoro non possa mai basarsi sul consenso come base
legittima per il trattamento. In alcune situazioni il datore di lavoro è in grado di dimostrare che il
consenso è stato effettivamente espresso liberamente
. Dato lo squilibrio di potere tra il datore di
lavoro e il suo personale, i dipendenti possono manifestare il loro consenso liberamente soltanto in
casi eccezionali, quando non subiranno alcuna ripercussione negativa per il fatto che esprimano il loro
consenso o meno”

( Linee guida EDPB 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 )

Quanto viene richiesto è una particolare attenzione circa la capacità di superare quello squilibrio di potere per cui è necessario porre particolare attenzione sui seguenti passaggi:
i) possibilità di revocare il consenso;
ii) assenza di conseguenze negative in caso di mancata prestazione o revoca del consenso;
che nelle migliori prassi applicative sono rendicontati all’interno di una valutazione d’impatto. E che in ogni caso devono risultare in modo chiaro già all’interno delle informazioni rese ai lavoratori.

Un esempio viene offerto direttamente da un caso di studio proposto dall’EDPB:

“Una troupe cinematografica filmerà una determinata area di un ufficio. Il datore di lavoro chiede a tutti i dipendenti che hanno la scrivania in quella zona il consenso a essere ripresi, in quanto potrebbero apparire sullo sfondo del video. Chi non vuole essere filmato non viene penalizzato in alcun modo e ottiene invece una scrivania altrove nell’edificio per l’intera durata delle riprese.”

( Linee guida EDPB 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 )

Pro tip: in questi casi sarà bene considerare anche l’opportunità di predisporre anche una liberatoria sull’utilizzo delle immagini perché di non solo GDPR vive la compliance di un’organizzazione.

Di questo e molto altro (stra)parlo all’interno della mia newsletter di data protection +1 su LinkedIn. Cliccare per credere!

La privacy spiegata bene e fatta meglio. Artigianale. A misura d’uomo.

Servizi

DAL BLOG