Valutare i dipendenti non significa lederne la dignità
È lecito pubblicare nella bacheca aziendale giudizi sull’operato dei dipendenti e dati relativi ad eventuali contestazioni disciplinari? È questo l’interrogativo al quale la Suprema Corte ha risposto negativamente nella sentenza n. 17911 del 2022.
Il caso
Il caso trae origine da un provvedimento, emesso il 13 dicembre 2018, dall’Autorità Garante per la protezione dei dati che aveva ritenuto illecito il trattamento, effettuato da una società cooperativa, consistente nella pubblicazione sistematica in bacheca delle fotografie dei lavoratori dipendenti con l’indicazione del cognome, delle iniziali del nome e di eventuali informazioni relative a provvedimenti disciplinari.
Accanto a ciascun nominativo e alle foto venivano apposte delle faccine (c.d. smile), accompagnate da specifiche motivazioni (es. “per assenteismo”, “per complimenti del cliente” o “per mancata risposta telefonica” etc.). Le emoticon, che rappresentavano dei veri e propri strumenti di valutazione, erano assegnate settimanalmente ai soci lavoratori dal consiglio di amministrazione della cooperativa.
Detto trattamento di dati si inseriva nell’ambito di un concorso a premi obbligatorio per tutti i soci, che si vedevano riconoscere un premio o un addebito economico sulla busta paga in base al numero delle faccine positive o negative accumulate. Lo scopo di detto concorso interno era quello di premiare i soci più meritevoli e di migliorare la qualità dei servizi offerti alla clientela.
Il Garante privacy, pur riconoscendo al datore di lavoro la facoltà di trattare i dati relativi alle valutazioni delle prestazioni lavorative e all’esercizio del potere disciplinare, contestava alla società cooperativa un siffatto trattamento evidenziando che:
- le informazioni, tramite affissione in bacheca collocata nei locali della società, venivano rese note non solo agli interessati, bensì anche a tutti gli altri dipendenti e a terzi e, quindi, a soggetti che non potevano ritenersi legittimati a conoscere i dati personali altrui;
- la pubblicazione appariva un’operazione inadeguata ed eccessiva rispetto agli scopi della società, consistenti nell’incentivare i dipendenti a migliorare la qualità e l’efficienza dei servizi resi alla clientela;
- con tale modalità, si sottoponevano costantemente all’attenzione altrui le valutazioni sulla qualità e sulla correttezza delle prestazioni lavorative del socio, ledendo la sua dignità personale, libertà e riservatezza.
Per queste motivazioni, il Garante riscontrava la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679 o GDPR e imponeva alla società cooperativa di non proseguire detto trattamento. Quest’ultima, vedendosi respinta la richiesta di opposizione avanzata innanzi al tribunale ordinario, sottoponeva il caso al vaglio della Corte di Cassazione.
La pronuncia della Cassazione
La società ricorrente invocava, da un lato, il consenso al trattamento di dati prestato dal socio all’atto dell’assunzione e, dall’altro, la sottoscrizione “volontaria” del concorso e della procedura relativa alla valutazione settimanale.
Ma il punto qualificante del ricorso era che: “in ogni caso il trattamento doveva considerarsi legittimo in forza della natura del rapporto nel quale si inseriva il consenso prestato al momento dell’approvazione del deliberato assembleare”.
In altri termini, secondo la cooperativa, poteva ritenersi lecito il trattamento per il solo fatto che era stato autorizzato per deliberazione assembleare dalla maggioranza dei soci-lavoratori dipendenti. La volontà dell’ente espressa dall’organo assembleare poteva – secondo tale tesi – sostituirsi alla facoltà del singolo di acconsentire al trattamento dei dati personali.
Questa bizzarra argomentazione è stata rigettata con fermezza dalla Suprema Corte, che in conformità al GDPR, ha affermato: “in tema di dati personali, la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento ad un trattamento chiaramente individuato”.
Detto principio di carattere generale osta a ritenere che “un trattamento possa ritenersi giustificato da un consenso funzionalmente diverso come quello espresso nel contesto di maggioranza necessarie ad approvare deliberati assembleari, in ispecie il deliberato assembleare di una società cooperativa, della quale il soggetto, del cui dato personale si tratti, sia socio lavoratore”.
La Suprema Corte ha chiarito come la volontà dell’ente non rilevi con riguardo al trattamento dei dati personali, essendo necessario il consenso degli interessati, inteso quale manifestazione di volontà libera, specifica ed inequivocabile che deve scaturire esclusivamente dalla discrezionalità dei singoli.
Per questi motivi, la Cassazione, in linea con quanto disposto dal Garante privacy, ha rigettato il ricorso confermando l’illiceità del trattamento esaminato.
Leggi anche:
