Attenzione alle emoticon: nei messaggi sì, nella bacheca aziendale no

Con il provvedimento n.500 del 13 dicembre del 2018, l’Autorità garante per la privacy ha ritenuto illecito il trattamento dei dati posto in essere da una cooperativa Toscana, che prevedeva l’affissione in bacheca di dati personali e foto dei propri dipendenti, nonché di dati relativi alle valutazioni ed alle contestazioni disciplinari.

 

La policy aziendale

Secondo quanto affermato dalla società, da diversi anni l’azienda aveva deciso di adottare una politica interna volta ad incentivare i soci più meritevoli e disincentivare, di conseguenza, i disservizi. 

Pertanto, al momento dell’assunzione, i soci erano tenuti a fornire il proprio consenso ai fini della partecipazione ad una sorta di concorso, prendendo visione dell’informativa in merito sia al regolamento che al funzionamento delle politiche aziendali.

Più specificatamente, la pratica prevedeva l’utilizzo di emoticon (c.d. “faccine”) le quali, mediante rinvio ad una ‘legenda’ consentivano di esprimere un giudizio di sintesi – sia in positivo che in negativo – in merito all’operato del dipendente. I giudizi venivano poi esposti nella bacheca aziendale, insieme ad un elenco contenente dati personali dei lavoratori, corredato da fotografie, ma anche informazioni “relative ad addebiti disciplinari e causali riferiti all’assenza del lavoratore”.

Le regole erano semplici, la partecipazione era riservata in via esclusiva ai soci lavoratori e non anche ai semplici dipendenti. Al contrario di quanto previsto nei casi di assenza ingiustificata, ai fini del concorso, nessun punteggio negativo (o sanzione disciplinare) veniva assegnato in caso di assenza dal lavoro per malattia. I punteggi venivano assegnati, mediante l’utilizzo di emoticon, a cadenza settimanale. Ad attribuirli, il consiglio di amministrazione della società, “delegato a valutare l’attività dei lavoratori anche con riferimento al livello di impegno, alla risoluzione dei problemi […] al rispetto delle procedure, alla cura del proprio mezzo e dell’abbigliamento”.

Il cartellone riportante i punteggi veniva poi affisso nella sede della cooperativa ad uso esclusivo dei dipendenti, ma comunque visibile a chiunque. Al fine di incentivare i lavoratori e valorizzare i più meritevoli, inoltre, la politica aziendale prevedeva un premio in denaro per i soci-dipendenti nelle prime posizioni e una decurtazione dello stipendio, per chi si trovasse in fondo alla classifica.

 

La risposta del Garante

Come puntualizzato dal Garante, l’affissione in bacheca delle contestazioni disciplinari, nonché la contestuale pubblicazione di foto associate poi ad emoticon (nella decisione “faccine”) accompagnate da giudizi sintetici tra i quali “assenteismo”, o “simulazione di malattia” od ancora “perdita del lavoro causa scarso servizio o danni” […] configurano un trattamento illecito dei dati. Inoltre, tali pratiche, se sottoposte alla continua attenzione dei colleghi, costituiscono modalità di trattamento potenzialmente in grado di ledere la dignità personale, libertà e riservatezza dei lavoratori.

Secondo quanto affermato dall’Autorità per la privacy, il consenso da parte del socio lavoratore – anche se effettivamente documentato e/o previsto – non rende in ogni caso il trattamento in oggetto idoneo ai sensi del Regolamento (UE) n.679 del 2016 (“GDPR”).

Di conseguenza, il modello di dichiarazione cui i soci lavoratori venivano sottoposti (“accettazione senza riserva delle norme del consenso”, anche l’autorizzazione a “detrarre dalla busta paga eventuali decurtazioni derivanti da saldi negativi delle valutazioni”), rendeva necessaria una valutazione, di volta in volta, della libertà del consenso espresso.

È consentito, infatti, al datore di lavoro, trattare soltanto quelle informazioni necessarie alla gestione e all’espletamento del rapporto di lavoro (per esempio, quei dati necessari ad “effettuare una valutazione in merito al corretto adempimento della prestazione lavorativa o al fine di esercitare il potere disciplinare nei modi e limiti previsti dalla disciplina di settore”).

In conclusione, a parere del Garante, le operazioni svolte dalla cooperativa toscana sono illecite secondo quanto previsto dal GDPR, e non adeguate e pertinenti rispetto agli scopi rappresentati dalla società, che “ben possono essere perseguiti con modalità che non comportino il sacrifico del diritto alla riservatezza degli interessati”.

(Garante per la protezione dei dati personali, provvedimento del 13 dicembre 2018 n.500)