La valutazione e l’analisi delle performance dei dipendenti è una pratica sempre più diffusa nella gestione delle risorse umane. Spesso può divenire una attività strategica per ottimizzare l’apporto di ciascun soggetto ma è fondamentale tenere bene a mente la gestione della privacy dei lavoratori dipendenti.
Per chiarire i dubbi sul difficile equilibrio tra GDPR e dipendenti, vi proponiamo un caso concreto sul quale si è pronunciato recentemente il Garante per la protezione dei dati personali.
La diffusione illecita dei dati personali sulla bacheca aziendale
Un concorso a premi, con tanto di pubblicazione settimanale di punteggi associati a persone e contestazioni disciplinari. Per incentivare il rendimento dei lavoratori una cooperativa toscana specializzata in servizi di logistica (pulizie, facchinaggio e trasporti) ha scelto questa pratica, discutibile e molto rischiosa. Se l’idea di base poteva sembrare una creativa modalità per gestire le risorse umane, infatti, la modalità con cui veniva realizzata era sicuramente lesiva dei diritti e della dignità dei dipendenti.
Di preciso, cosa accadeva?
Ogni settimana nella bacheca aziendale venivano pubblicati accanto ai volti dei dipendenti (identificabili con nome e cognome) i punteggi e commenti disciplinari, con l’utilizzo anche di diverse emoticon. Le informazioni erano accessibili a tutti, dipendenti e non. Infatti, anche semplici visitatori dell’azienda potevano venire a conoscenza della valutazione dei dipendenti, senza un valido motivo o giustificazione.
Il Garante è intervenuto vietando alla cooperativa di proseguire questa iniziativa e sottolineandone l’illiceità in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del GDPR.
Il consenso dell’interessato: nel rapporto di lavoro è insufficiente
In un rapporto di lavoro c’è sempre una disparità e uno scarto di potere tra azienda e dipendente. L’art. 4 del GDPR definisce il consenso come manifestazione di volontà libera, specifica, informata ed inequivocabile. Nella realtà dei fatti il dipendente non è nelle condizioni di esprimere liberamente il proprio consenso al trattamento dei dati personali, per la posizione subordinata al datore di lavoro, che esercita in ogni caso una influenza. Per questa ragione il trattamento dei dati personali dei dipendenti deve trovare una base giuridica diversa dal consenso, che può combaciare con una di queste ipotesi:
- esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga);
- adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per calcolare il pagamento di un’imposta);
- interesse legittimo del datore di lavoro (quale può essere l’ottimizzazione della produttività aziendale).
Il caso della cooperativa di servizi ci permette una riflessione sulla base giuridica dell’interesse legittimo del datore di lavoro. L’intenzione di mettere in piedi una procedura aziendale in grado di monitorare ed incentivare le performances dei dipendenti era lecita, ma non lo erano i mezzi e le modalità utilizzate. Un parere del gruppo WP29 (emesso nel giugno 2017) stabilisce a riguardo che il trattamento deve essere:
- proporzionato alle esigenze aziendali,
- svolto in modo meno intrusivo possibile,
- mirato allo specifico ambito di rischio.
In sintesi l’interesse aziendale non può prevalere sui diritti e le libertà fondamentali dei lavoratori. Nel caso analizzato i dati dei dipendenti della cooperativa erano continuamente sottoposti ad ingiustificata diffusione e conseguente lesione della dignità personale.
