Il provvedimento

Trattamento dati personali dei dipendenti, non basta il consenso: il caso della sanzione a PwC

L’autorità greca ha sanzionato per 150.000 euro il colosso della consulenza PwC per violazione del GDPR in relazione all’illecito trattamento dei dati personali dei propri dipendenti. La vicenda offre l’occasione per riflettere sulla normativa in tema

16 Set 2019
G
Andrea Grillo

Legal Consultant P4I

R
Claudia Rapisarda

Legal Consultant P4I


Non bastano informativa e consenso per trattare i dati dei propri dipendenti, che potrebbero dare il loro assenso perché in posizione di debolezza rispetto al titolare. Con la conseguenza di multe per violazione del GDPR. È quanto accaduto a PwC – PricewaterhouseCoopers Business Solutions SA, uno dei colossi mondiali della consulenza direzionale e strategica, sanzionato per 150.000 euro a luglio 2019 dalla DPA – Data Protection Authority greca. Il provvedimento sanzionatorio offre una serie di importanti spunti di riflessione utili per approfondire il tema del consenso da parte di soggetti che si trovano in condizione di subordine.

L’antefatto

La società di consulenza è stata sanzionata per l’illecito trattamento dei dati personali dei propri dipendenti. Ciò che è finito, in seguito ad un reclamo da parte di un’organizzazione sindacale, sotto la lente del Garante greco è stato l’accesso, da parte del Titolare, ai dati personali dei dipendenti raccolti attraverso gli strumenti informatici forniti dall’azienda per svolgere l’attività lavorativa.

In particolare, la società ha fornito ai propri dipendenti un’informativa privacy nella quale veniva richiesto, in calce, un consenso preventivo per poter accedere a questi dati, per finalità di carattere organizzativo e produttivo.

Le decisioni del WP29

Già in passato, il Working Party 29 (“WP29”) si era espresso sul valore del consenso al trattamento prestato da interessati che si trovano in una posizione di subordinazione rispetto al Titolare. Nella “Opinion 2/2017 sul trattamento dei dati sul posto di lavoro” si legge “per la maggior parte delle attività di trattamento svolte nel contesto lavorativo la base giuridica non può e non dovrebbe essere il consenso dei dipendenti in considerazione della natura del rapporto tra datore di lavoro e dipendente”. Si tratta di un principio oramai pacificamene acquisito, ribadito dal Garante ellenico nel provvedimento sanzionatorio in oggetto. Come si legge nel provvedimento anche l’ordinamento greco (l. 2472/1997) avvalora la tesi del lavoratore subordinato quale eventuale contraente debole rispetto al proprio datore di lavoro.

Il consenso, definito dal WP29 come una libera manifestazione della volontà dell’interessato, può costituire una base legittima del trattamento solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere liberamente se accettare i termini proposti o rifiutarli senza subire pregiudizi. Tali condizioni si presumono non rispettate quando la natura del rapporto tra titolare e interessato presenti uno “squilibrio di potere” tale per cui è improbabile che l’interessato possa effettuare una scelta del tutto libera ed incondizionata. Nelle stesse Linee Guida il WP29 affronta il tema dello squilibrio di potere che caratterizza il contesto lavorativo ribadendo che “data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto”.

Sebbene PwC, nelle memorie difensive presentate all’autorità, abbia dichiarato che nessuna sanzione disciplinare o richiamo è stato irrogato a quei dipendenti che hanno deciso di non prestare il proprio consenso al trattamento, ciò non è stato ritenuto dalla DPA idoneo per dimostrare la libertà del consenso. Non è necessario infatti che si verifichi nel concreto una discriminazione ma, stante la natura del rapporto datore di lavoro/dipendente, si presume in questo caso una disparità tale da non offrire una piena discrezionalità al soggetto cui viene richiesto di fornire i propri dati personali.

Le violazioni del GDPR

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

La DPA ha poi sottolineato come il consenso dovrebbe essere utilizzato quale base giuridica solo nei casi in cui non possano trovare applicazione le altre basi giuridiche previste dall’art. 6 del GDPR. L’Authority ritiene che la base giuridica maggiormente idonea a legittimare il trattamento in oggetto deve essere individuata nel legittimo interesse del titolare o, tutt’al più, nell’adempimento di obblighi imposti dalla legge.
A più riprese, infatti, le Authorities nazionali e il WP29 hanno riconosciuto al datore di lavoro la facoltà di effettuare dei controlli sugli strumenti informatici forniti ai propri lavoratori, purché tale controllo sia congruo e dunque non ecceda i limiti della proporzionalità.

L’inadeguatezza della base giuridica scelta ha portato come conseguenza diretta la violazione di alcuni fondamentali principi sanciti dal GDPR: trasparenza, liceità e “accountability” (art. 5, GDPR). Va ricordato infatti che il GDPR pone in capo al titolare non solo l’obbligo di individuare una base giuridica idonea a legittimare i trattamenti che intende effettuare, ma anche di documentare tale scelta in modo tale da essere in grado di dimostrarne la conformità al GDPR.

Le misure correttive

Alla luce delle ragioni sopra esposte, la DPA greca, nell’esercizio dei poteri correttivi attribuitile dall’art. 58 co. 2 del GDPR, ha imposto alla società di adottare, entro il termine di tre mesi, le seguenti misure correttive:

  • rendere le operazioni di trattamento dei dati relativi ai dipendenti conformi alle disposizioni del GDPR;
  • ripristinare la corretta applicazione delle disposizioni dell’articolo 5 e dell’articolo 6 par. 1, garantendo il rispetto dei principi di liceità, correttezza e trasparenza;
  • garantire il rispetto degli altri principi sanciti dal GDPR, adottando tutte le misure necessarie al rispetto del principio generale di accountability.

La DPA greca ha ritenuto opportuno infliggere un’ammenda amministrativa ai sensi dell’articolo 83 del GDPR, pari a 150.000 euro, tenendo conto dei bilanci pubblicati della società. Il GDPR prevede, infatti, che la violazione dei principi di base del trattamento, nonché la violazione dei diritti dell’interessato comporti l’applicabilità delle sanzioni più elevate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3