Sanzione di Euro 150.000,00 dell’Autorità di vigilanza greca (HDPA) per errata individuazione della base giuridica pe...
L’HDPA ha condotto un’indagine circa la corretta individuazione della base legale del trattamento dei dati personali dei dipendenti di Pricewaterhousecoopers Business Solutions SA (PWC BS). Nella decisione n. 26/2019 l’Autorità ellenica ha ribadito come, affinché il trattamento dei dati personali possa dirsi lecito, e dunque conforme ai requisiti imposti dal GDPR, devono essere soddisfatte tutte le condizioni relative all’applicazione e al rispetto dei principi di cui all’art. 5, par. 1, GDPR.
L’individuazione e la scelta della base giuridica appropriata ai sensi dell’art. 6, par. 1, GDPR è strettamente connessa sia con il principio di trattamento equo e trasparente sia con il principio di limitazione delle finalità, e il titolare del trattamento deve non solo scegliere la base giuridica appropriata prima di iniziare il trattamento -documentando tale scelta internamente, nel rispetto del principio di accountability -, ma anche informare l’interessato circa la base giuridica individuata ai sensi dell’art. 13, par. 1, lett. c), e dell’art. 14, par. 1, lett. c), GDPR.
I principi di trattamento legittimo, equo e trasparente dei dati personali ai sensi dell’art. 5, par. 1, lett. a), GDPR impongono che il consenso sia utilizzato come base giuridica ai sensi dell’art. 6, par. 1, GDPR solo se le altre basi giuridiche non possono trovare applicazione. In tali ipotesi, ossia quando viene individuato il consenso quale unica legittima base giuridica per procedere al trattamento dei dati personali, il rifiuto a prestare il consenso o la sua revoca equivale ad un divieto assoluto di trattamento dei dati personali.
Ne deriva, quindi, che il consenso delle persone interessate nell’ambito dei rapporti di lavoro, ossia dei dipendenti, non può essere considerato come liberamente prestato a causa dell’evidente squilibrio tra le parti (datore di lavoro e dipendente). Nel caso di specie, poi, la scelta del consenso come base giuridica era errata ed inadeguata, in quanto il trattamento dei dati personali era finalizzato a compiere attività direttamente collegate all’esecuzione dei contratti di lavoro e/o all’adempimento di un obbligo legale cui è soggetto il titolare del trattamento/datore di lavoro.
Oltre a quanto sopra, l’HDPA ha accertato che PWC BS aveva dato ai dipendenti l’impressione di trattare i loro dati personali sulla base del loro consenso, mentre in realtà era un’altra la base giuridica, della quale però gli stessi non erano mai stati informati, in violazione del principio di trasparenza e quindi dell’obbligo di fornire informazioni ai sensi dell’art. 13 e 14 GDPR.
Infine, l’HDPA ha constatato che il titolare del trattamento ha violato altresì il principio di cd. responsabilizzazione (art. 5, par. 2, GDPR), in quanto non ha ottemperato alla richiesta dell’Autorità Ellenica di fornire documentazione interna comprovante la scelta del consenso quale base giuridica utilizzata per il trattamento dei dati personali dei dipendenti.
Alla luce di quanto precede, l’HDPA ha concluso che la PWC BS, in qualità di titolare del trattamento, ha trattato illegittimamente i dati personali dei suoi dipendenti (i) in violazione dell’art. 5, par. 1, lett. a), .GDPR, in quanto ha individuato una base giuridica errata; (ii) in contrasto con le disposizioni dell’art. 5, n. 1, lett. a), lett. b) e c), del GDPR, dando loro l’ impressione di trattare i dati personali sulla base del loro consenso, mentre era un’altra la base giuridica, mai comunicata agli stessi dipendenti. Inoltre, PWC BS non è stata in grado di dimostrare il rispetto del principio di responsabilizzazione sopra illustrato.
L’HDPA ha imposto a PWC BS alcune misure correttive, da porre in essere entro il termine di tre mesi, ma non ritenendole sufficienti per la compliance al GDPR, ha altresì comminato la sanzione pecuniaria di Euro 150.000,00 ai sensi dell’art. 83 GDPR.
