Il provvedimento

Trattamento dati personali dei dipendenti, non basta il consenso: il caso della sanzione a PwC

L’autorità greca ha sanzionato per 150.000 euro il colosso della consulenza PwC per violazione del GDPR in relazione all’illecito trattamento dei dati personali dei propri dipendenti. La vicenda offre l’occasione per riflettere sulla normativa in tema

16 Set 2019
G
Andrea Grillo

Senio Legal Consultant presso P4I - Partners4Innovation

R
Claudia Rapisarda

Legal Consultant P4I - Partners4Innovation

Non bastano informativa e consenso per trattare i dati dei propri dipendenti, che potrebbero dare il loro assenso perché in posizione di debolezza rispetto al titolare. Con la conseguenza di multe per violazione del GDPR. È quanto accaduto a PwC – PricewaterhouseCoopers Business Solutions SA, uno dei colossi mondiali della consulenza direzionale e strategica, sanzionato per 150.000 euro a luglio 2019 dalla DPA – Data Protection Authority greca. Il provvedimento sanzionatorio offre una serie di importanti spunti di riflessione utili per approfondire il tema del consenso da parte di soggetti che si trovano in condizione di subordine.

L’antefatto

La società di consulenza è stata sanzionata per l’illecito trattamento dei dati personali dei propri dipendenti. Ciò che è finito, in seguito ad un reclamo da parte di un’organizzazione sindacale, sotto la lente del Garante greco è stato l’accesso, da parte del Titolare, ai dati personali dei dipendenti raccolti attraverso gli strumenti informatici forniti dall’azienda per svolgere l’attività lavorativa.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

In particolare, la società ha fornito ai propri dipendenti un’informativa privacy nella quale veniva richiesto, in calce, un consenso preventivo per poter accedere a questi dati, per finalità di carattere organizzativo e produttivo.

Le decisioni del WP29

Già in passato, il Working Party 29 (“WP29”) si era espresso sul valore del consenso al trattamento prestato da interessati che si trovano in una posizione di subordinazione rispetto al Titolare. Nella “Opinion 2/2017 sul trattamento dei dati sul posto di lavoro” si legge “per la maggior parte delle attività di trattamento svolte nel contesto lavorativo la base giuridica non può e non dovrebbe essere il consenso dei dipendenti in considerazione della natura del rapporto tra datore di lavoro e dipendente”. Si tratta di un principio oramai pacificamene acquisito, ribadito dal Garante ellenico nel provvedimento sanzionatorio in oggetto. Come si legge nel provvedimento anche l’ordinamento greco (l. 2472/1997) avvalora la tesi del lavoratore subordinato quale eventuale contraente debole rispetto al proprio datore di lavoro.

Il consenso, definito dal WP29 come una libera manifestazione della volontà dell’interessato, può costituire una base legittima del trattamento solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere liberamente se accettare i termini proposti o rifiutarli senza subire pregiudizi. Tali condizioni si presumono non rispettate quando la natura del rapporto tra titolare e interessato presenti uno “squilibrio di potere” tale per cui è improbabile che l’interessato possa effettuare una scelta del tutto libera ed incondizionata. Nelle stesse Linee Guida il WP29 affronta il tema dello squilibrio di potere che caratterizza il contesto lavorativo ribadendo che “data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto”.

Sebbene PwC, nelle memorie difensive presentate all’autorità, abbia dichiarato che nessuna sanzione disciplinare o richiamo è stato irrogato a quei dipendenti che hanno deciso di non prestare il proprio consenso al trattamento, ciò non è stato ritenuto dalla DPA idoneo per dimostrare la libertà del consenso. Non è necessario infatti che si verifichi nel concreto una discriminazione ma, stante la natura del rapporto datore di lavoro/dipendente, si presume in questo caso una disparità tale da non offrire una piena discrezionalità al soggetto cui viene richiesto di fornire i propri dati personali.

Le violazioni del GDPR

La DPA ha poi sottolineato come il consenso dovrebbe essere utilizzato quale base giuridica solo nei casi in cui non possano trovare applicazione le altre basi giuridiche previste dall’art. 6 del GDPR. L’Authority ritiene che la base giuridica maggiormente idonea a legittimare il trattamento in oggetto deve essere individuata nel legittimo interesse del titolare o, tutt’al più, nell’adempimento di obblighi imposti dalla legge.
A più riprese, infatti, le Authorities nazionali e il WP29 hanno riconosciuto al datore di lavoro la facoltà di effettuare dei controlli sugli strumenti informatici forniti ai propri lavoratori, purché tale controllo sia congruo e dunque non ecceda i limiti della proporzionalità.

L’inadeguatezza della base giuridica scelta ha portato come conseguenza diretta la violazione di alcuni fondamentali principi sanciti dal GDPR: trasparenza, liceità e “accountability” (art. 5, GDPR). Va ricordato infatti che il GDPR pone in capo al titolare non solo l’obbligo di individuare una base giuridica idonea a legittimare i trattamenti che intende effettuare, ma anche di documentare tale scelta in modo tale da essere in grado di dimostrarne la conformità al GDPR.

Le misure correttive

Alla luce delle ragioni sopra esposte, la DPA greca, nell’esercizio dei poteri correttivi attribuitile dall’art. 58 co. 2 del GDPR, ha imposto alla società di adottare, entro il termine di tre mesi, le seguenti misure correttive:

  • rendere le operazioni di trattamento dei dati relativi ai dipendenti conformi alle disposizioni del GDPR;
  • ripristinare la corretta applicazione delle disposizioni dell’articolo 5 e dell’articolo 6 par. 1, garantendo il rispetto dei principi di liceità, correttezza e trasparenza;
  • garantire il rispetto degli altri principi sanciti dal GDPR, adottando tutte le misure necessarie al rispetto del principio generale di accountability.

La DPA greca ha ritenuto opportuno infliggere un’ammenda amministrativa ai sensi dell’articolo 83 del GDPR, pari a 150.000 euro, tenendo conto dei bilanci pubblicati della società. Il GDPR prevede, infatti, che la violazione dei principi di base del trattamento, nonché la violazione dei diritti dell’interessato comporti l’applicabilità delle sanzioni più elevate.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr