Il datore non può considerare l’adesione agli scioperi per valutare i dipendenti

15 Novembre 2021

Il 4 novembre 2021 la CNIL ha sanzionato, in qualità di datore di lavoro, una società pubblica per avere trattato illecitamente dati relativi ai propri dipendenti per finalità di valutazione correlate alla promozione professionale.

Il 4 novembre 2021 la CNIL ha comunicato di aver irrogato una sanzione pari a 400.000 euro alla società francese RATP, colosso parigino attivo nel settore dei trasporti pubblici, per illiceità riscontrate nel trattamento dei dati personali dei propri dipendenti.

In sostanza, il Garante francese ha accertato quale violazione del GDPR da parte di RATP l’utilizzo dei dati relativi all’adesione dei dipendenti agli scioperi indetti dal sindacato, i quali venivano inclusi in un file utilizzato dalla società per valutare i propri dipendenti e scegliere chi promuovere.

Ricostruiamo schematicamente la pronuncia.

Il caso

Come anticipato, la sanzione irrogata dalla CNIL ha riguardato un illecito trattamento dei dati dei dipendenti relativi all’adesione agli scioperi indetti dal sindacato, inclusi in un file utilizzato dal datore di lavoro per determinare i beneficiari delle promozioni professionali.

Il procedimento, avviato a seguito della segnalazione all’Autorità da parte del sindacato, ha accertato l’illiceità di tale pratica aziendale, integrate una chiara violazione dei principi del GDPR.

In particolare, il Garante francese ha ritenuto il suddetto utilizzo dei dati relativi all’adesione agli scioperi dei dipendenti una violazione dei principi di adeguatezza, pertinenza e minimizzazione, nonché del principio di conservazione correlata alle finalità.

La violazione dei principi di adeguatezza, pertinenza e minimizzazione

Per quanto riguarda i primi dei tre principi citati, la CNIL ha rilevato come l’utilizzo di un file “griglia” interno per valutare il rendimento professionale dei dipendenti non si configuri di per sé come un trattamento illecito dei dati dei personali dei dipendenti.

Il datore di lavoro, fermo restando il rispetto degli obblighi imposti dal GDPR (primo fra tutti, l’obbligo di informativa), ben può trattare i dati personali del proprio personale per effettuare le proprie valutazioni in ordine al rendimento professionale, a patto però che tali dati sia adeguati, pertinenti e non eccedenti la finalità perseguita.

In altre parole, come ha sottolineato il Garante francese, nel caso di specie l’illiceità è stata riscontrata nell’inserimento in tale file di dati superflui rispetto alla finalità perseguita dal titolare, a cui a niente serviva sapere se il dipendente avesse aderito ad uno o più scioperi per decidere in merito alla promozione o meno di quest’ultimo.

Per operare lecitamente, il datore di lavoro avrebbe dovuto semplicemente evitare di specificare la ragione dell’assenza dei dipendenti, limitandosi ad indicare il solo numero dei giorni di assenza.

La violazione del principio di conservazione correlata alle finalità

Passando al principio di limitazione dei termini di conservazione, l’Autorità ha ravvisato che, pur avendo il titolare del trattamento determinato un tempo di conservazione preciso (18 mesi), durante gli accertamenti effettuati risultavano ancora conservate versioni del file risalenti al 2017.

Nonostante le difese della società, la quale ha eccepito che si trattasse di una circostanza isolata, il Garante francese ha ritenuto il principio di conservazione evidentemente violato, ribadendo la necessità che ogni dato personale trattato da un titolare del trattamento sia conservato solo per il tempo necessario al perseguimento della finalità ad esso correlata.

Gli insegnamenti operativi

La vicenda brevemente illustrata è utile a trarre qualche insegnamento operativo che, nonostante i quasi 4 anni di vigenza del GDPR, fatica ancora a far breccia nei cuori di titolari e responsabili del trattamento.

In primo luogo, ogni datore di lavoro deve essere consapevole di essere obbligato ad informare in maniera chiara e trasparente i propri dipendenti sui trattamenti effettuati sui loro dati personali.

Ancora, bisogna fare attenzione a “non trattare troppo”. Evitare quindi di trattare dati personali non necessari in relazione alla finalità che si intende perseguire.

Ultimo, prevedere dei termini di conservazione precisi e, ovviamente, fare attenzione a rispettarli.

Cosa può aiutare titolari e responsabili ad osservare questi semplici principi?

La risposta è sempre quella. Formazione e procedure chiare e adatte alla singola realtà aziendale. La memoria fa il resto.

Il datore non può considerare l’adesione agli scioperi per valutare i dipendenti

Il caso

La violazione dei principi di adeguatezza, pertinenza e minimizzazione

La violazione del principio di conservazione correlata alle finalità

Gli insegnamenti operativi

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Periodo di comporto, il criterio del conteggio e della comunicazione delle assenze

Sistemi automatizzati: la giurisprudenza inizia a tracciare il perimetro dell’obbligo informativo in capo al datore di lavoro

La tutela del soggetto debole (bis)

Lavoro giusto

Shopping low cost: quali sono i veri rischi

Altri articoli dell'autore

Il caso

La violazione dei principi di adeguatezza, pertinenza e minimizzazione

La violazione del principio di conservazione correlata alle finalità

Gli insegnamenti operativi

Articoli più letti su questo argomento