3 giugno 2022
Il consenso privacy non può essere surrogato da una delibera assembleare
Per legittimare un trattamento di dati personali nell'ambito di una realtà associativa od organizzativa il consenso potrebbe mai essere in qualche modo surrogato da una delibera della maggioranza assembleare?
di Avv. Fabio Valerini
Il caso

ilcaso

La prima sezione civile della Corte di Cassazione con la sentenza n. 17911del 1° giugno 2022 affronta per la prima volta in maniera espressa la possibilità che un consenso legittimante un trattamento di dati personali nell'ambito di una realtà associativa od organizzativa possa essere in qualche modo surrogato da una delibera della maggioranza assembleare.

Tutto aveva preso le mosse da un concorso di qualità denominato “guardiamoci in faccia” avviato da una cooperativa di tassisti. L'assemblea della cooperativa aveva deliberato di affiggere sulla bacheca aziendale non soltanto i provvedimenti disciplinari, ma anche le fotografie degli autisti (soci della cooperativa) lasciando la possibilità ai colleghi di associare a quei profili una sorta di emoticon (ad esempio, una faccina sorridente per un voto positivo) e giudizi sintetici su assenteismo, simulazione di malattia e altro, visibili anche da persone diverse dal lavoratore interessato ed anche estranee alla società cooperativa.

Su segnalazione di alcuni soci lavoratori – che avevano lamentato tra l'altro che questa pubblicazione in bacheca provocava loro uno stato di continuo allarme di non lavorare bene e di essere pubblicamente giudicati – era intervenuto Garante per la protezione dei dati personali. Ebbene, con il provvedimento del 13 dicembre 2018, il Garante, dopo aver messo in evidenza anche la peculiarità del consenso del lavoratore ai fini della legittimazione dei trattamenti del datore di lavoro stante la differente forza contrattuale, aveva ritenuto il comportamento della cooperativa illecito per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 7 del Regolamento (UE) 2016/679 (cd. GDPR), che ne aveva vietato l'ulteriore pratica secondo le modalità oggetto di segnalazione.

Il diritto

ildiritto

Il Tribunale di Roma aveva respinto il ricorso della società cooperativa ritenendo che «la condotta della società, integrata da valutazioni di sintesi sull'operato dei dipendenti, espresse con informazioni rese pubbliche in bacheca e con l'uso delle cd. “faccine” (smile) associate alle fotografie dei lavoratori interessati, era da considerare sproporzionata rispetto al risultato del concorso qualità (denominato “guardiamoci in faccia”) approvato dall'assemblea dei soci». Oltre a ciò, il Tribunale di Roma aveva rilevato anche una mancanza di un valido consenso: la pratica non era stata autorizzata dal consenso perché il consenso prestato dai soci lavoratori non aveva avuto a oggetto la pubblicazione tra i soci delle valutazioni e delle sanzioni emesse, ma solo l'esito della valutazione settimanale riportato sul planning generale.

Rispetto a ciò a cui era stato dato consenso, «la condotta della cooperativa era stata ben più invasiva, avendo realizzato la sistematica pubblicazione, giustappunto, dei volti dei dipendenti associata alle “faccine” e accompagnata da giudizi sintetici su assenteismo, simulazione di malattia e altro, visibili anche da persone diverse dal lavoratore interessato».

La lente dell'autore

lenteautore

Ed è proprio con riguardo al profilo dell'esistenza, o no, di un valido consenso ai fini della normativa privacy che la società ricorrente fonda principalmente il suo ricorso specialmente con riferimento «alla natura del rapporto [associativo, nda] nel quale si inseriva e del consenso prestato al momento dell'approvazione del deliberato assembleare». Ed infatti, secondo la società tutto il sistema delle valutazioni era stato legittimato dal consenso, e giustificato dal rapporto associativo liberamente costituitosi tra i soci e la cooperativa, oltre che tra i soci stessi. Del resto, all'atto dell'assunzione era stata sottoscritta dai soci una dichiarazione specifica in ordine all'esser stati informati sull'utilizzo dei dati anagrafici e sensibili, con consenso al trattamento e con sottoscrizione del regolamento del concorso per la qualità del lavoro, unitamente alla descrizione della relativa procedura integrata dalle valutazioni settimanali affisse presso la sede. 

Senonché, per la Suprema Corte in tema di trattamento di dati personali costituisce principio generale che si riferisce ad ogni rapporto è che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato. Ne deriva che «la circostanza che il rapporto abbia natura associativa (o anche organizzativa), sì che alla gestione e alla formazione della volontà dell'ente contribuiscano gli stessi soci nelle forme assembleari previste, non comporta affatto che ogni trattamento di dati divenga per ciò solo consentito dai singoli secondo le forme stabilite in assemblea».

Alla luce dei principi generali, la Corte di Cassazione ha potuto quindi concludere – con riguardo al caso specifico rispetto al quale l'applicazione è senz'altro nuova – nel senso che «soltanto un consenso … non delegabile alla  formulazione maggioritaria adottata in un deliberato assembleare» potrebbe fondare un trattamento legittimo di dati personali specialmente nell'ambito di un rapporto che è anche di lavoro e dove i dati personali potevano essere visti anche da terzi estranei.

Ed allora dal momento che il giudice del merito ha escluso in fatto l'esistenza di un tal consenso, la Suprema Corte ha rigettato il ricorso confermando la sentenza del Tribunale e, in ultima analisi, il provvedimento del Garante. E ciò in applicazione del seguente principio di diritto che è stato espressamente enunciato: «in tema di dati personali, la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio, di portata generale, rileva e prevale in ogni rapporto, e osta a ritenere che un trattamento possa considerarsi giustificato da un consenso funzionalmente diverso come quello espresso nel contesto di maggioranze necessarie ad approvare deliberati assembleari, ed in ispecie il deliberato assembleare di una società cooperativa, della quale il soggetto, del cui dato personale si tratti, sia socio lavoratore».

Da ultimo pare opportuno richiamare l'attenzione su ciò che, in questo caso, la Suprema Corte non si è pronunciata sul delicatissimo tema – che il Garante aveva affrontato – del consenso del lavoratore per i trattamenti dei dati personali che rimane un tema fondamentale per la privacy nel rapporto di lavoro.