La Corte di cassazione, con la sentenza 1 giugno 2022, n. 17911, ha risolto una controversia avente ad oggetto la liceità del trattamento dei dati personali effettuato da una società cooperativa: gli interessati erano soci lavoratori della medesima società.
Già il Garante per la protezione dei dati personali aveva accertato l’illiceità del trattamento effettuato mediante la pubblicazione in bacheca di dati concernenti contestazioni disciplinari e valutazioni sull’operato dei lavoratori: veniva contestata la violazione dell’art. 5, par. 1, lett. a) e lett. c), nonché degli artt. 6 e 7 del Regolamento UE 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (d’ora in avanti, GDPR).
L’art. 5 GDPR, tra i principi applicabili al trattamento dei dati personali, individua il principio di liceità, correttezza e trasparenza [par. 1, lett. a)] e il principio di minimizzazione dei dati [par. 1, lett. c): i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati].
Ai sensi dell’art. 6 GDPR, il trattamento è lecito solo se e nella misura in cui ricorra almeno una delle seguenti condizioni: a) qualora l’interessato abbia espresso il proprio consenso per una o più specifiche finalità; b) qualora sia necessario ai fini dell’esecuzione di un contratto di cui l’interessato è parte; c) qualora sia necessario per adempiere un obbligo legale cui è soggetto il titolare del trattamento; d) qualora sia necessario per tutelare interessi vitali dell’interessato o di altra persona fisica; e) qualora sia necessario per l’esecuzione di un compito o di un potere pubblico da parte del titolare del trattamento; f) qualora sia necessario per il perseguimento di un interesse legittimo del titolare del trattamento o di terzi, secondo la regola di prevalenza normativamente tratteggiata.
L’art. 7 GDPR, invece, disciplina le condizioni per il consenso del trattamento: il titolare deve dimostrare che l’interessato ha prestato il consenso; il consenso deve essere prestato in modo chiaro e specifico; il consenso è sempre revocabile.
Per il Tribunale di Firenze, la valutazione dei lavoratori mediante informazioni pubblicate in bacheca e attraverso l’uso delle faccine (smile) abbinate alle fotografie dei singoli lavoratori interessati ha integrato una condotta sproporzionata rispetto al risultato del concorso qualità “Guardiamoci in faccia”, approvato dall’assemblea dei soci. Il consenso, secondo i giudici toscani, era limitato all’indicazione della valutazione settimanale sul planning generale e non si estendeva alla pubblicazione delle valutazioni e delle sanzioni irrogate. La società cooperativa, invero, associava le “faccine” al volto dei dipendenti, oltre a riportare giudizi su assenteismo, simulazione di malattia e altro; a ciò faceva seguito l’attribuzione di un punteggio. Tutte queste informazioni erano visibili da soggetti diversi dai singoli lavoratori interessati.
Secondo la società ricorrente, all’atto dell’assunzione era stata sottoscritta una dichiarazione specifica da parte dei soci riguardante l’informazione sull’utilizzo dei dati, cui faceva seguito il consenso al trattamento e la sottoscrizione del regolamento concorsuale per la qualità lavorativa. La procedura valutativa sarebbe stata legittimata dal consenso e giustificata dal rapporto associativo liberamente costituitosi tra i soci e la cooperativa, oltre che tra i soci medesimi.
I giudici di Cassazione, rigettando il ricorso della società, hanno statuito che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato: si tratta di un principio avente portata generale e come tale valevole in ogni rapporto. Secondo i giudici, “la circostanza che il rapporto abbia natura associativa (o anche organizzativa), sì che alla gestione e alla formazione della volontà dell’ente contribuiscano gli stessi soci nelle forme assembleari previste, non comporta affatto che ogni trattamento di dati divenga per ciò solo consentito dai singoli secondo le forme stabilite in assemblea. La circostanza che il rapporto abbia natura associativa (o anche organizzativa), sì che alla gestione e alla formazione della volontà dell’‘ente contribuiscano gli stessi soci nelle forme assembleari previste, non comporta affatto che ogni trattamento di dati divenga per ciò solo consentito dai singoli secondo le forme stabilite in assemblea”. Precisano chiaramente che “tutti i dipendenti che accedono al locale ove è collocata la bacheca [sono] stati in grado di verificare i dati così come trattati. E non è senza significato che lo abbiano potuto fare perfino i terzi occasionalmente presenti nella sede della cooperativa. Tutto questo implica un trattamento legittimo solo se correlato a un consenso specifico, libero e informato espresso da ciascun interessato. Un consenso, dunque, non delegabile alla formulazione maggioritaria adottata in un deliberato assembleare”.
Il principio di diritto espresso è il seguente: “in tema di dati personali, la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio, di portata generale, rileva e prevale in ogni rapporto, e osta a ritenere che un trattamento possa considerarsi giustificato da un consenso funzionalmente diverso come quello espresso nel contesto di maggioranze necessarie ad approvare deliberati assembleari, ed in ispecie il deliberato assembleare di una società cooperativa, della quale il soggetto, del cui dato personale si tratti, sia socio lavoratore”.