In data 17 giugno 2024, il Tribunale di Udine ha emesso un’ordinanza riguardante un caso di sospensione dal servizio e dalla retribuzione di una dipendente per rifiuto a sottoscrivere l’atto di designazione a incaricato/autorizzato per il trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (“GDPR”).
La ricorrente ha presentato un ricorso contenente istanza cautelare, chiedendo la sospensione del provvedimento di sospensione dal servizio e dalla retribuzione, con riammissione al lavoro. Tuttavia, il giudice del lavoro ha osservato che non sussistono i presupposti del fumus boni iuris (parvenza di un buon diritto) e del periculum in mora (pericolo nel ritardo) necessari per accordare la tutela richiesta in via cautelare.
La lavoratrice aveva ricevuto una comunicazione via PEC, informandola della sua designazione come incaricata/autorizzata al trattamento dei dati personali ai sensi della normativa in materia di protezione dei dati personali (nello specifico, l’art. 29 GDPR e l’art. 2-quaterdecies del novellato D.lgs. 196/03). L’azienda richiedeva il suo consenso a trattare dati di categoria particolare di altre persone durante lo svolgimento delle proprie mansioni per ragioni di servizio; la lavoratrice negava questo consenso, dichiarandosi in attesa di ulteriori chiarimenti. Il giorno successivo, l’azienda avrebbe comunicato che, a causa del rifiuto della lavoratrice, non le sarebbe stato consentito l’accesso ai locali aziendali. La lavoratrice avrebbe portato le chiavi dell’ufficio presso il locale Commissariato di Polizia, affermando che non avrebbe restituito le chiavi fino a quando non fosse stata fornita una motivazione adeguata alla sospensione.
Questa ordinanza solleva importanti questioni riguardanti i diritti dei lavoratori e la protezione dei dati personali. In particolare, la richiesta di consenso da parte dell’azienda mette in evidenza la tensione tra le esigenze aziendali e il diritto dei dipendenti alla protezione dei propri dati personali.
Tuttavia, leggendo l’ordinanza del giudice del lavoro, si rileva un particolare interessante. L’azienda avrebbe richiesto il consenso della lavoratrice per il trattamento di dati personali riferiti ad altri soggetti interessati, e non ai propri dati di categoria particolare.
Questo particolare rappresenta molto probabilmente una situazione anomala rispetto ad un trattamento di dati personali di categoria particolare nei confronti di un interessato. Infatti, si ritiene opportuno considerare che:
- nell’ambito delle proprie mansioni non è necessario conferire un consenso per il trattamento di dati categoria particolare riferiti ad altri soggetti interessati (ad esempio un addetto della funzione delle risorse umane tratta quei dati perché ha ricevuto un’istruzione da parte del titolare del trattamento);
- a fronte di una mancata informazione chiara e precisa da parte del titolare del trattamento, il trattamento non dovrebbe essere effettuato perché manca di uno dei suoi elementi essenziali (requisiti richiesti dall’art. 7 del GDPR);
- un consenso inserito nel contesto di un più ampio trattamento, fa presupporre che tale trattamento sia ultroneo e/o facoltativo, e non dovrebbe inficiare l’oggetto principale del titolare del trattamento (caso classico, richiedere con consenso il trattamento dei dati per finalità di marketing nel contesto della sottoscrizione di un contratto di servizi).
Senza ulteriori informazioni, non è chiaro quali fossero le caratteristiche di tale trattamento per cui era richiesto il consenso. Si può presumere che l’azienda (titolare del trattamento) abbia commesso un errore nel confondere un atto di designazione ad incaricato/autorizzato del trattamento (che assegna un ruolo e fornisce istruzioni per un coretto trattamento dei dati durante lo svolgimento della propria mansione) rispetto ad un’informativa al trattamento dei dati personali ai sensi dell’art. 13 GDPR (che informa l’interessato delle caratteristiche del trattamento, lo informa dei suoi diritti e ne raccoglie gli eventuali consensi).
