GDPR e valutazione dei dipendenti: quale limite?

La valutazione e l’analisi delle performance dei dipendenti è una pratica sempre più diffusa nella gestione delle risorse umane. Spesso può divenire una attività strategica per ottimizzare l’apporto di ciascun soggetto ma è fondamentale tenere bene a mente la gestione della privacy dei lavoratori dipendenti. 

Per chiarire i dubbi sul difficile equilibrio tra GDPR e dipendenti, vi proponiamo un caso concreto sul quale si è pronunciato recentemente il Garante per la protezione dei dati personali.

‍La diffusione illecita dei dati personali sulla bacheca aziendale

Un concorso a premi, con tanto di pubblicazione settimanale di punteggi associati a persone e contestazioni disciplinari. Per incentivare il rendimento dei lavoratori una cooperativa toscana specializzata in servizi di logistica (pulizie, facchinaggio e trasporti) ha scelto questa pratica, discutibile e molto rischiosa. Se l’idea di base poteva sembrare una creativa modalità per gestire le risorse umane, infatti, la modalità con cui veniva realizzata era sicuramente lesiva dei diritti e della dignità dei dipendenti.

Di preciso, cosa accadeva?

Ogni settimana nella bacheca aziendale venivano pubblicati accanto ai volti dei dipendenti (identificabili con nome e cognome) i punteggi e commenti disciplinari, con l’utilizzo anche di diverse emoticon. Le informazioni erano accessibili a tutti, dipendenti e non. Infatti, anche semplici visitatori dell’azienda potevano venire a conoscenza della valutazione dei dipendenti, senza un valido motivo o giustificazione.

Il Garante è intervenuto vietando alla cooperativa di proseguire questa iniziativa e sottolineandone l’illiceità in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 7 del GDPR.

Il consenso dell’interessato: nel rapporto di lavoro è insufficiente

In un rapporto di lavoro c’è sempre una disparità e uno scarto di potere tra azienda e dipendente. L’art. 4 del GDPR definisce il consenso come manifestazione di volontà libera, specifica, informata ed inequivocabile. Nella realtà dei fatti il dipendente non è nelle condizioni di esprimere liberamente il proprio consenso al trattamento dei dati personali, per la posizione subordinata al datore di lavoro, che esercita in ogni caso una influenza. Per questa ragione il trattamento dei dati personali dei dipendenti deve trovare una base giuridica diversa dal consenso, che può combaciare con una di queste ipotesi: 

• esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga);
• adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per calcolare il pagamento di un’imposta);
• interesse legittimo del datore di lavoro (quale può essere l’ottimizzazione della produttività aziendale).

Il caso della cooperativa di servizi ci permette una riflessione sulla base giuridica dell’interesse legittimo del datore di lavoro. L’intenzione di mettere in piedi una procedura aziendale in grado di monitorare ed incentivare le performances dei dipendenti era lecita, ma non lo erano i mezzi e le modalità utilizzate. Un parere del gruppo WP29 (emesso nel giugno 2017) stabilisce a riguardo che il trattamento deve essere:

• proporzionato alle esigenze aziendali,
• svolto in modo meno intrusivo possibile,
• mirato allo specifico ambito di rischio.

In sintesi l’interesse aziendale non può prevalere sui diritti e le libertà fondamentali dei lavoratori. Nel caso analizzato i dati dei dipendenti della cooperativa erano continuamente sottoposti ad ingiustificata diffusione e conseguente lesione della dignità personale.

L’opportunità di una DPIA

Abbiamo visto come un trattamento di dati personali focalizzato sul rendimento e le prestazioni dei lavoratori può rappresentare un elevato rischio per i diritti e le libertà delle persone fisiche. Questa situazione è stata esplicitamente prevista dalle Linee Guida dell’attuale EDPB (il vecchio WP29) ed è uno dei 9 criteri suggeriti dal gruppo di lavoro per verificare l’opportunità della redazione di una specifica valutazione d’impatto o DPIA. 

In particolare, il gruppo WP 29 nel white paper 248 ha indicato come suscettibile di valutazione d’impatto l’eventuale assegnazione di un punteggio ad una persona fisica, inclusa la profilazione e la previsione. Gli aspetti da prendere in analisi sono quelli riguardanti le prestazioni del soggetto interessato sul lavoro, la situazione economica, la salute, le preferenze o interessi personali, l’affidabilità o comportamento, la posizione o i movimenti. 

Recentemente anche il Garante per la protezione dei dati personali si è espresso sull’argomento, pubblicando un elenco (non esaustivo ma esemplificativo) in cui sono previste tutte le tipologie di trattamento suscettibili di DPIA. 

E nella tua azienda quali metodi usi per la valutazione e il monitoraggio del personale? 

Sei certo siano in linea con il GDPR e che la privacy dei tuoi dipendenti sia garantita? Contattaci per approfondire questo argomento, i nostri esperti potranno chiarire i tuoi dubbi.