Hai bisogno di aiuto?
Skip to main content

In tema di tutela dei dati personali, la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento cioè a un trattamento chiaramente individuato.

E’ una sentenza di notevole rilievo sul piano della salvaguardia della privacy quella, la n. 17911/22, depositata il primo giugno 2022 dalla Cassazione, la quale, in virtù di questo principio, ha ritenuto che un determinato trattamento non possa considerarsi giustificato da un consenso funzionalmente diverso, come quello espresso nel contesto di maggioranze necessarie ad approvare deliberati assembleari, dando ragione al Garante per la protezione dei dati e ai soci lavoratori di una società cooperativa che si erano rivolti al suo ufficio segnalando l’illecito.

Il Garante accerta l’illiceità del trattamento dei dati di una cooperativa

Il Garante per l’appunto aveva accertato l’illiceità del trattamento effettuato dalla società attraverso la pubblicazione in bacheca di dati relativi a contestazioni disciplinari e valutazioni dei soci lavoratori stessi, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679 (cd. GDBR), e ne aveva vietato l’ulteriore pratica secondo le modalità oggetto di segnalazione.

La società aveva proposto opposizione dinanzi al tribunale di Firenze che tuttavia l’aveva respinta osservando che la condotta della cooperativa, integrata da valutazioni di sintesi sull’operato dei dipendenti, espresse con informazioni rese pubbliche in bacheca e con l’uso delle cosiddette “faccine” (smile), associate  alle  fotografie  dei  lavoratori  interessati,  era  da considerare sproporzionata rispetto al risultato del concorso qualità (denominato “Guardiamoci in faccia”) approvato dall’assemblea dei soci. 

 

I soci non avevano dato il consenso per pubblicare le loro valutazioni lavorativi in bacheca

I giudici avevano poi aggiunto che la pratica in questione non era stata autorizzata dal consenso prestato, giacché questo non aveva avuto a oggetto la pubblicazione tra i soci delle valutazioni e delle sanzioni emesse, ma solo l‘esito della valutazione settimanale riportato sul planning generale, mentre la condotta della cooperativa era stata ben più invasiva, avendo realizzato la sistematica pubblicazione, per l’appunto, dei volti dei dipendenti associata alle “faccine” e accompagnata da giudizi sintetici su assenteismo, simulazione di malattia e altro, visibili anche da persone diverse dal lavoratore interessato.

La coop ricorre per Cassazione sostenendo che i dipendenti avevano firmato una liberatoria

La società cooperativa tuttavia ha proposto ricorso anche per Cassazione contro l’ordinanza del tribunale di Firenze articolato su tre motivi. Con il terzo, il particolare, la coop ha denunciato la violazione e falsa applicazione dell’art. 5 par. 1, lett. a) e c), 6 e 7 Regolamento (UE) 2016/679 e dell’art. 24 del codice privacy (d.lgs. 196/2003), dal momento che, ha sostenuto, all’atto dell’assunzione era stata sottoscritta dai soci una dichiarazione specifica in ordine all’essere stati informati sull’utilizzo dei dati anagrafici e sensibili, con consenso al trattamento e con sottoscrizione del regolamento del concorso per la qualità del lavoro, unitamente alla descrizione della relativa procedura integrata dalle valutazioni settimanali affisse presso la sede.

Dunque secondo la tesi difensiva, tutto il sistema delle valutazioni era stato legittimato dal consenso, e giustificato dal rapporto associativo liberamente costituitosi tra i soci e la cooperativa, oltre che tra i soci stessi.

 

La Suprema Corte rigetta le doglianze, il consenso è valido se è libero e specifico

Ma per la Suprema Corte, il motivo è in parte inammissibile e in parte infondato. La Cassazione si concentra sul punto qualificante del ricorso, laddove cioè la ricorrente, alle contestazioni già mosse avanti il Tribunale, aggiunge che in ogni caso il trattamento doveva considerarsi legittimo in forza della natura del rapporto nel quale si inseriva e del consenso prestato al momento dell’approvazione del deliberato assembleare. Ma questa nuova doglianza è appunto infondata secondo gli Ermellini, i quali ribadiscono che “in tema di trattamento di dati personali il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato”, un principio che peraltro, aggiungono i giudici del Palazzaccio, “ha portata generale che prevale in ogni rapporto”. 

Non è quindi condivisibile l’assunto secondo il quale il trattamento sarebbe stato comunque, nella specie, “giustificato dal consenso espresso in seno al rapporto associativo venutosi a costituire liberamente tra i soci e la cooperativa (e tra i soci stessi)”. Infatti, la circostanza che il rapporto abbia natura associativa (o anche organizzativa), cosicché alla gestione e alla formazione della volontà dell’ente contribuiscano gli stessi soci nelle forme assembleari previste, “non comporta affatto che ogni trattamento di dati divenga per ciò solo consentito dai singoli secondo le forme stabilite in assemblea.

può prescindersi dalla circostanza che nel caso concreto le operazioni sanzionate dal Garante hanno configurato il trattamento di dati personali di soci lavoratori, e anche mediante la messa a disposizione dei dati a soggetti diversi dalle parti del rapporto, sia di lavoro che societario, instaurato tra la società cooperativa e ciascuno di essi”: infatti, come già ricordato, tutti i dipendenti che accedevano al locale dov’era collocata la bacheca potevano verificare i dati così come trattati, e “non è senza significato – incalza la Suprema Corte – che lo abbiano potuto fare perfino i terzi occasionalmente presenti nella sede della cooperativa. Tutto questo implica un trattamento legittimo solo se correlato a un consenso specifico, libero e informato espresso da ciascun interessato. Un consenso, dunque, non delegabile alla formulazione maggioritaria adottata in un deliberato assembleare”. 

Rigettando il ricorso, la Cassazione ha anche affermato questo principio di diritto: “in tema di dati personali, la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio, di portata generale, rileva e prevale in ogni rapporto, e osta a ritenere che un trattamento possa considerarsi giustificato da un consenso funzionalmente diverso come quello espresso nel contesto di maggioranze necessarie ad approvare deliberati assembleari, ed in ispecie il deliberato assembleare di una società cooperativa, della quale il soggetto, del cui dato personale si tratti, sia socio lavoratore”.

Scritto da:

alt-placeholder

Dott. Nicola De Rossi

Vedi profilo →

Categoria:

Vertenze di Lavoro

Condividi

Affidati a
Studio3A

Nessun anticipo spese, pagamento solo a risarcimento avvenuto.

Contattaci
Skip to content