GDPR e valutazione dei dipendenti: quale limite?

GDPR e valutazione dei dipendenti: quale limite?

La valutazione e l’analisi delle performance dei dipendenti è una pratica sempre più diffusa nella gestione delle risorse umane di un’azienda. Un’attività strategica che ha l’obiettivo di ottimizzare l’apporto di ciascun soggetto ma, allo stesso tempo, estremamente sensibile sotto il profilo della protezione dei dati. Affrontiamo questa delicata problematica a partire da un caso concreto sul quale si è pronunciato recentemente il Garante per la protezione dei dati personali.

Diffusione illecita dei dati sulla bacheca aziendale

Un concorso a premi, con tanto di pubblicazione settimanale di punteggi associati a persone e contestazioni disciplinari: era questa la pratica adottata di una cooperativa toscana specializzata in servizi di logistica (pulizie, facchinaggio e trasporti) con l’obiettivo di incentivare il rendimento dei lavoratori. Un progetto di per sé legittimo, rientrante nelle politiche HR che ogni azienda esercita per misurare le performance dei propri lavoratori, ma realizzato con modalità non idonee, lesive dei diritti e della dignità dei soggetti coinvolti.

Di preciso, cosa accadeva?

Ogni settimana nella bacheca aziendale venivano pubblicati accanto ai volti dei dipendenti (identificabili con nome e cognome) i punteggi e commenti disciplinari associati anche a diverse tipologie di emoticon. Inoltre, le informazioni erano accessibili a tutti, dipendenti e non. Anche semplici visitatori dell’azienda potevano venirne a conoscenza, senza un valido motivo o giustificazione, della valutazione in corso dei dipendenti.

Il Garante è intervenuto vietando alla cooperativa di proseguire questa tipologia di trattamento e sottolineando all’interno del suo provvedimento la sua illiceità in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del GDPR.

Consenso dell’interessato: nel rapporto di lavoro non legittima il trattamento

È un fatto inequivocabile e oggettivo: in un rapporto di lavoro c’è una disparità e uno scarto di potere tra azienda e dipendente. Uno squilibrio che determina una precisa conseguenza sul piano giuridico: il dipendente non è nelle condizioni di esprimere un consenso al trattamento dei propri dati personali, in linea con quanto espresso dall’art.4 del GDPR che lo definisce come manifestazione di una volontà libera, specifica, informata ed inequivocabile. Nel caso di specie manca il requisito della libertà.

Il consenso del lavoratore, quindi, non è mai pienamente libero. Per questa ragione il trattamento dei dati personali dei dipendenti deve trovare una base giuridica diversa dal consenso, che può combaciare con una di queste ipotesi:

  • esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga);
  • adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per calcolare il pagamento di un’imposta);
  • interesse legittimo del datore di lavoro (quale può essere l’ottimizzazione della produttività aziendale).

Il caso della cooperativa di servizi ci invita a riflettere sull’ultimo punto. E cioè sull’interesse legittimo del datore di lavoro di mettere in piedi una procedura aziendale in grado di monitorare ed incentivare le performances dei dipendenti.

L’intenzione era lecita, ma non altrettanto i mezzi e le modalità utilizzate per perseguirla. A proposito vale la pena riportare il contenuto di un parere del gruppo WP29 (emesso nel giugno 2017) in cui stabilisce che il trattamento, realizzato per interesse legittimo, deve essere:

  • proporzionato alle esigenze aziendali;
  • svolto in modo meno intrusivo possibile;
  • mirato allo specifico ambito di rischio.

In sintesi l’interesse aziendale non può prevalere sui diritti e le libertà fondamentali dei lavoratori.

E nel caso di specie, così non è stato: i dati dei dipendenti della cooperativa erano continuamente sottoposti ad un’ingiustificata diffusione, con conseguente lesione della propria dignità personale.

L’opportunità di una DPIA

Un trattamento di dati personali focalizzato sul rendimento e le prestazioni dei lavoratori può rappresentare un elevato rischio per i diritti e le libertà delle persone fisiche. Questa  previsione è stata esplicitamente espressa dalle Linee Guida dell’attuale EDPB (il vecchio WP 29) e, in particolare, nell’indicazione di uno dei 9 criteri suggeriti per verificare la necessità di redarre una valutazione d’impatto privacy o DPIA.

In particolare, il gruppo WP 29 nel white paper 248 ha indicato come suscettibile di valutazione d’impatto l’eventuale assegnazione di un punteggio ad una persona fisica, inclusa la profilazione e la previsione, in particolare di "aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento, posizione o movimenti.

Questo aspetto, infine, è stato ribadito recentemente dal Garante Privacy che ha pubblicato di recente, in base alle disposizioni dell'art. 35 §4 e a seguito dell'applicazione del meccanismo di coerenza previsto dall’art 63 GDPR, un elenco (non esaustivo ma esemplificativo) in cui sono previste tutte le tipologie di trattamento suscettibili di DPIA.

E nella tua azienda quali metodi usi per la valutazione e il monitoraggio del personale?

Sei certo siano in linea con il GDPR? Se senti il bisogno di confrontarti con noi, non esitare a contattarci. Noi ci siamo.

data-breach
 SCOPRI TUTTE LE NEWS SUL GDPR

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Più di 500 clienti ci hanno già scelto
Nessuna carta di credito richiesta
Provalo per 14 giorni, senza limitazione
Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...