Il consenso al trattamento dei dati personali è una delle basi giuridiche del trattamento, nell’ambito del regolamento generale per la protezione dei dati personali. Il consenso, in base al Regolamento UE 2016/679 è definito come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.
Il consenso deve essere liberamente dato e ciò implica che l’interessato non deve subire intimidazioni o raggiri, né subire conseguenze negative a seguito del mancato conferimento dello stesso. Nel caso dei lavoratori, sia nel settore pubblico che in quello privato, qualora il datore di lavoro richieda il consenso all’utilizzo del dato e vi sia un pregiudizio reale o potenziale per l’interessato non consenziente, il consenso non può ritenersi valido perché non libero.
Dato lo squilibrio di potere tra datore e dipendente, quest’ultimo può dare un consenso valido solo in circostanze eccezionali. Il consenso, quindi, non può costituire la base giuridica del trattamento in caso di evidente squilibrio tra le parti. In tal caso sarebbe preferibile trattare i dati su una base giuridica differente in relazione, ovviamente, alle finalità del trattamento.
Sul principio appena esposto si fonda il Provvedimento n. 26/2019 dell’Autorità Garante privacy Ellenica che ha sanzionato una multinazionale per 150.000 euro applicando, in luogo alla normativa specifica, i principi applicabili al trattamento dei dati personali contenuti nell’art. 5 del GDPR (Regolamento UE 2016/679).
Tale Provvedimento è scaturito in seguito ad una segnalazione di richiesta del consenso al trattamento dei dati dei dipendenti. Il Garante della Privacy Greco, ha quindi avviato un’istruttoria che ha portato all’accertamento che la richiesta del consenso ai dipendenti era illegittima, in quanto non basata sul principio di responsabilizzazione di cui all’art. 5 del Regolamento UE 2016/679 visto e considerato che il datore di lavoro così facendo avrebbe dato ai dipendenti la falsa impressione che stesse trattando i dati secondo la base giuridica del consenso, mentre in realtà stava trattando gli stessi sotto una base giuridica differente, sulla quale, tra l’altro, i dipendenti non erano stati informati. Rispetto al nostro ordinamento, il Principio affermato dal Garante Greco non potrebbe essere applicato in quanto nel nostro ordinamento la relativa normativa è specifica. La base giuridica per il trattamento dei dati personali nel settore pubblico è l’esercizio del potere pubblico e della pubblica funzione, per le categorie particolari di dati, invece, di cui al co. 1 dell’art. 9 del GDPR 2016/679, il consenso è espressamente previsto al comma 2, come condizione del trattamento quando l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, ovvero tra gli altri casi, quando il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, ovvero quando ai sensi sempre dello stesso 2 co., lettera g) il trattamento è necessario per motivi di “interesse pubblico rilevante” sulla base del diritto dell’Unione o degli Stati membri tenuto presente le relative finalità che devono essere volta per volta declinate nell’informativa.
Il Garante Greco, inoltre, ha individuato la legittimità del trattamento nel caso in cui, dopo aver esercitato i poteri correttivi espressamente previsti nell’art. 58 del GDPR 2016/679, ha riconosciuto come base giuridica la natura contrattuale del rapporto di lavoro menzionato nell’art. 6 del GDPR che, al co. 1 lettera b), prevede espressamente che il trattamento è necessario quando deve darsi esecuzione al contratto di lavoro, di cui l’interessato è parte. Per quanto riguarda il diritto dell’interessato di revocare in qualsiasi momento il consenso, espressamente previsto dall’art. 7 co. 3 del GDPR, questo contrasterebbe con l’effettiva possibilità del lavoratore di esercitare tale diritto in quanto gli effetti sull’esecuzione del rapporto di lavoro sarebbero imprevedibili e tutti a svantaggio del lavoratore.
