Nel corso della pandemia molti hanno scoperto l’importanza della tutela della privacy. Dall’app Immuni all’app Verifica-C19, il trattamento dei dati personali è divenuto tema di interesse generale. Ma c’è chi lo aveva affrontato già prima, pretendendo che i propri dati fossero garantiti come previsto dalla legge. Si tratta dei soci lavoratori di una cooperativa, i cui nominativi e foto - unitamente a informazioni e valutazioni relative a prestazioni lavorative, addebiti disciplinari, motivi delle assenze - venivano esposti nella bacheca aziendale.

La vicenda, esaminata dapprima dal Garante per la protezione dei dati personali, si è conclusa qualche giorno fa con una pronuncia della Cassazione.

I fatti

Una società cooperativa, negli anni scorsi, aveva avviato una sorta di “concorso a premi” tra i lavoratori, con «l’intento di incentivare i soci più meritevoli» e «disincentivare i disservizi» mediante una «premiazione, in denaro, dei primi tre classificati».

La quota di partecipazione al concorso era prelevata dalle rispettive buste paga. Ogni settimana il consiglio di amministrazione valutava l’attività dei dipendenti, e poi nella bacheca aziendale veniva affisso un prospetto - denominato “Guardiamoci in faccia…soci!” - contenente nome, cognome e fotografia di ogni dipendente, nonché informazioni relative a contestazioni disciplinari a suo carico, causali delle sue assenze (anche per malattia) e altro.

A ciascun nominativo e foto venivano associate “faccine” (emoticon Smile) che, attraverso il rinvio a una “legenda”, esprimevano un giudizio di sintesi (positivo o negativo) sull’operato del lavoratore.

Il Garante Privacy

Nel 2018, i dipendenti erano ricorsi al Garante Privacy. Nel proprio provvedimento, l’Autorità aveva rilevato che all’imprenditore è consentito trattare soltanto le informazioni necessarie alla gestione e all’espletamento del rapporto di lavoro: per esempio, dati utili a «effettuare la valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore».

Invece, l’affissione in bacheca di un prospetto – visibile non solo ai dipendenti, ma anche a eventuali visitatori – che mostra addebiti disciplinari, giudizi tra i quali “assenteismo”, “simulazione di malattia” o “perdita del lavoro causa scarso servizio o danni”, associati a dati personali e “faccine”, configura un trattamento illecito di dati.

Inoltre, esporre «costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale», lede «la dignità personale, la libertà e la riservatezza dei lavoratori».

Peraltro, tale esposizione risultava sproporzionata: i fini dell’incentivazione o disincentivazione dei lavoratori possono «essere perseguiti con modalità che non comportino il sacrifico del diritto alla riservatezza degli interessati».

Infine, ai sensi del Gdpr (regolamento europeo n. 679/2016) nemmeno l’eventuale consenso del lavoratore alla partecipazione al concorso avrebbe legittimato il trattamento dei suoi dati. Infatti – afferma l’Autorità - si deve accertare «di volta in volta e in concreto l’effettiva libertà del consenso espresso», considerata la «asimmetria tra le rispettive parti del rapporto di lavoro».

La Cassazione

La cooperativa ha impugnato il provvedimento del Garante, arrivando fino alla Cassazione. Quest’ultima, nei giorni scorsi, ha confermato la decisione dell’Autorità, ritenendo illecito il trattamento dei dati dei lavoratori (sentenza n. 17911/2022).

Da un lato, sotto il profilo della sproporzione, dato che gli obiettivi premiali per i dipendenti potevano essere ottenuti senza lederne i diritti; dall’altro lato, sotto quello del consenso, che è valido «solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato».

Non bastava, quindi, come sostenuto dalla società, che il socio dipendente avesse acconsentito al concorso interno mediante la partecipazione a una delibera assembleare adottata a maggioranza.

In altre parole, la circostanza che, trattandosi di una cooperativa, «alla gestione e alla formazione della volontà dell'ente contribuiscano gli stessi soci nelle forme assembleari previste, non comporta affatto che ogni trattamento di dati divenga per ciò solo consentito dai singoli secondo le forme stabilite in assemblea».

Un trattamento così invasivo – come quello che esponeva dati e valutazioni riguardanti i lavoratori non solo al personale interno, ma anche a terzi occasionalmente presenti nella sede - dev’essere fondato su un consenso specifico, a seguito di un’idonea informativa. Consenso, pertanto, «non delegabile alla formulazione maggioritaria adottata in un deliberato assembleare».

La pandemia ha reso la tutela dei dati personali un tema più concreto nella vita quotidiana di tutti. Pure per questo serve continuare a parlarne, tenendo alta l’attenzione anche attraverso vicende come quella esposta.

© Riproduzione riservata