Quel...Diavolo di consenso (parte 6)

Parte 6: Consenso e contesto lavorativo

Il consenso al trattamento dei dati personali del lavoratore non va limitato alla sola disciplina della protezione dei dati personali, ma incontra necessariamente la disciplina giuslavoristica. Argomento complesso, non esauribile in pochi punti. In sintesi è comunque possibile individuarne i principali, ciascuno da approfondire in relazione al contesto specifico di applicazione.

Il problema del consenso nel contesto lavorativo è individuato dall'Art.29WP (linee guida sul consenso - WP 259) nello squilibrio di potere:
"Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di monitoraggio, quali la sorveglianza con telecamere sul posto di lavoro, o alla compilazione di moduli di valutazione."
Conseguentemente, la base del consenso è da considerarsi invalida o inadeguata per la maggior parte delle attività di trattamento svolte dal datore di lavoro che abbiano come interessati i lavoratori. Ciò comporta dunque che possa comunque essere un fondamento di liceità residuale purché si possa garantire e tutelare (nonché: essere in grado di dimostrare) la libertà di tale consenso.

Come già detto in merito alla libertà del consenso, quando questo fa riferimento ad un vincolo la gestione diventa particolarmente complessa. Ancor più complessa se il vincolo è fondato su di una relazione in cui il titolare è in una posizione di maggior potere nei confronti dell'interessato.

"Pleased to meet you
Hope you guess my name, oh yeah 
Ah, what's puzzling you 
Is the nature of my game, oh yeah"

( Rolling Stones - Sympathy for the Devil ) 


Nell'opinion n. 2/2017 on data processing at work, l'Art.29WP affronta tale tematica indicando come eccezionale il consenso del lavoratore e come criterio-chiave per valutarne la validità l'assenza effettiva di alcuna ripercussione negativa alla mancata prestazione di consenso.

Ulteriormente, viene sottolineata la necessità di garantire:
  • trasparenza e corretta informazione;
  • proporzionalità dei trattamenti;
  • minimizzazione dei dati.
Tali criteri devono essere rispettati anche, e soprattutto, in relazione alla diversa base giuridica del legittimo interesse qualora sia scelta come fondamento di liceità per alcune operazioni di trattamento (solitamente: monitoraggi e controlli), purché la sfera personale (e dunque: diritti e libertà degli interessati) sia protetta da misure di garanzie adeguate. Al fine di provvedere ad una tutela adeguata, il Garante ha indicato al punto 5 dell'elenco di trattamenti da sottoporre a valutazione d'impatto ai sensi dell'art. 35.4 GDPR:
Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
rinviando così alla disciplina giuslavoristica per la definizione dell'ambito di tali trattamenti.

Appare opportuno ricordare che, ai sensi dell'art. 4 dello Statuto dei Lavoratori, qualora vi sia un possibilità di controllo a distanza dei lavoratori, è necessario guardare sia ai presupposti autorizzativi (e dunque: se il trattamento è consentito dal diritto del lavoro) individuati dal comma 1 quanto al rispetto delle norme in materia di protezione dei dati personali richiamate dal comma 3 (e dunque: se la modalità scelta è conforme).

Sul punto dei controlli a distanza, la giurisprudenza penale chiarisce che il consenso degli interessati non può sostituire in alcun modo i presupposti autorizzativi per due motivi:
  • sotto il profilo giuslavoristico, l'indisponibilità del bene giuridico per i singoli dell'interesse collettivo della tutela della dignità dei lavoratori, in quanto ex lege devoluto alla rappresentanza sindacale (o, in difetto di accordo, devoluto all'autorizzazione da parte di un organo pubblico);
  • sotto il profilo della protezione dei dati personali, l'assenza di una libera prestazione del consenso da parte del lavoratore.
Particolarmente importante è non confondere gli ambiti, entrambi da valutare separatamente e con cura ed attenzione di distinguere i presidi di conformità adottati, soprattutto in sede di valutazione d'impatto che dovrebbe aver cura di valutare le contromisure poste per il trattamento dei rischi degli interessati avendo attenzione, ad esempio:
  • di considerare tutti gli interessati al trattamento (nel caso di videosorveglianza andrebbero considerati non soltanto i lavoratori ma anche gli eventuali ulteriori soggetti videoripresi); 
  • di non limitare l'individuazione (come parte del processo di risk assessment) ai soli rischi riferibili alla strumentazione (occorre individuare i rischi per diritti e libertà degli interessati);
definendo ed individuando anche i presidi di garanzia adottati per la corretta gestione della conformità normativa (es. minimizzazione), mediante un approccio di processo.

Essere GDPReady è...saper contestualizzare il consenso sul posto di lavoro.

Commenti