L’Autorità per la protezione dei dati personali greca (Hellenic Data Protection Authority), con Decisione n° 26/2019, ha sanzionato una multinazione a pagare 150 mila euro per non aver individuato correttamente la base giuridica del trattamento dei dati personali dei propri dipendenti e non aver rispettato il principio di accountability, in conformità al Reg. UE 2016/679.

Il Garante ha condotto un’indagine in merito alla legittimità del trattamento di dati personali degli impiegati della società scaturito da un reclamo presentato da un’organizzazione sindacale, nel quale veniva rilevato come il datore di lavoro avesse erroneamente individuato il consenso del dipendente quale base giuridica del trattamento.

La richiesta del consenso ai dipendenti era illegittima, scorretta e non trasparente alla luce del disposto dell’articolo 5 del Gdpr.  Il datore di lavoro, si legge nella sintesi del provvedimento, pubblicata sul sito dell’autorità ellenica, ha dato ai dipendenti la falsa impressione che stesse trattando i loro dati secondo la base giuridica del consenso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale, tra l’altro, i dipendenti non erano mai stati informati.

Il consenso del dipendente non va bene, in quanto non può essere considerato come liberamente concesso nell’ambito del rapporto di lavoro a causa dell’evidente squilibrio tra le parti. Le basi giuridiche corrette per questo trattamento sono il contratto di lavoro, l’adempimento di obblighi di legge del titolare del trattamento o il suo legittimo interesse, che consiste nel funzionamento regolare ed efficace dell’azienda.

Il Garante mette in evidenza,  come i dipendenti siano stati indotti a pensare che la legittimità del trattamento si fondasse sul consenso, in violazione del principio di trasparenza e degli art. 13 e 14 del Reg. UE 2016/679, e si sono visti negare un corretto esercizio dei diritti privacy, in quanto questi ultimi variano a seconda della base giuridica determinata a fondamento del trattamento.

In addition, the company gave employees the false impression that it was processing their personal data under the legal basis of consent, while in reality it was processing their data under a different legal basis about which the employees had never been informed. This was in violation of the principle of transparency and thus in breach of the obligation to provide information under Articles 13(1)(c) and 14(1)(c) of the GDPR.

Altro aspetto importante sottolineato nella decisione è che la scelta del consenso del dipendente come base giuridica deve essere effettuata come ultima ratio, proprio per le sue caratteristiche di irreversibilità: infatti, la revoca del consenso è considerata alla stregua di un divieto definitivo di effettuare il trattamento, che comporta l’impossibilità di trattare i dati anche identificando una diversa base giuridica.

Infine, il Garante greco ha constatato la violazione del principio di accountability o responsabilizzazione (art. 5 par. 2 del Reg. UE 2016/679). Questo in quanto l’azienda non è stata in grado di soddisfare la richiesta dell’Autorità di documentare la propria scelta in merito alla base giuridica del trattamento dei dati personali dei dipendenti.

E’ stato rilevato come le modalità concrete di gestione abbiano comportato un trasferimento dell’onere della prova dell’accountability dal titolare all’interessato: in particolare, è stato richiesto ai dipendenti di firmare un documento con il quale riconoscevano che i loro dati personali – trattati dall’azienda – fossero direttamente collegati, pertinenti e appropriati al rapporto di lavoro e all’organizzazione dell’attività lavorativa stessa. L’Autorità ha specificato, invece, che è onere di ciascun titolare adottare un modello di compliance privacy tale da dimostrare la corretta applicazione dei principi di cui all’art. 5 del Reg. UE 2016/679.

The principle of accountability constitutes the core of the compliance model adopted by the GDPR. Under this principle, the controller should implement the necessary measures to comply with the principles set out in Article 5(1) of the GDPR and demonstrate their effectiveness, without the DPA having to submit individual — specific questions and requests to assess compliance while exercising its investigative powers.

Il Garante ha imposto alla società delle misure correttive tali da comportare l’immediato adeguamento della Società al Regolamento, in conformità alla Decisione. Inoltre ha comminato una sanzione amministrativa pecuniaria di 150 mila euro, calcolato sulla base del bilancio della società, pubblicato per il periodo 1-7-2017 al 20-6-2018.

FONTE: Summary of Hellenic DPA’s Decision n° 26/2019 (Hellenic Data Protection Authority)