Side Menu

Ultimi Articoli Pubblicati

Blog

GDPR, niente consenso privacy per i dipendenti


Il datore di lavoro deve tutelare i dati dei dipendenti, e non può chiedere il consenso al trattamento: la base giuridica sono i contratti e le leggi.


La base giuridica corretta per trattare i dati dei dipendenti non è il consenso, ma sono i contratti di lavoro e le leggi: lo ha stabilito il Garante della Privacy, sanzionando in base al GDPR un’azienda che, invece, aveva chiesto ai dipendenti il consenso per trattare i loro dati. Richiesta che, secondo il Garante, è illegittima da parte di un datore di lavoro, anche in considerazione del peculiare rapporto con i dipendenti, che si trovano in una situazione subordinata e di conseguenza il consenso non è considerato una libera scelta. La sanzione per l’azienda è stata pari a 150mila euro.

No al consenso per i dipendenti

Il punto fondamentale, rilevante per tutte le aziende, è che non si può chiedere ai dipendenti il consenso al trattamento dei dati. Che, invece, vanno sempre e comunque gestiti in base alle regole, che esistono, fissate dai contratti e dalle leggi sul lavoro.

In termini più tecnici, all’azienda è stata contestata la violazione dell’articolo 5 del GDPR (il regolamento europeo sulla protezione dei dati), che stabilisce appunto i principi applicabili al trattamento dei dati (liceità, correttezza e trasparenza, limitazione delle finalità, adeguati e pertinenti, in base al concetto della minimizzazione dei dati, esattezza). Si tratta di un rilievo importante, perché come si vede l’articolo 5 è relativamente generico, fissando principi di base, che in base a questa pronuncia escludono la possibilità di un datore di lavoro di chiedere il consenso ai dipendenti. E, in particolare, la multa è stata stabilità in applicazione del comma 2 dell’articolo 5, che prevede la responsabilizzazione del titolare del trattamento, il quale è competente per il rispetto di tutti i principi sopra riportati.

Il datore di lavoro in questione da una parte non ha presentato al Garante la documentazione relativa all’adeguamento privacy, dall’altra ha chiesto ai dipendenti un consenso che, come detto, non è in alcun modo previsto dal GDPR (in quanto non applicabile al rapporto di lavoro).

5