Il Garante privacy della Grecia, con il provvedimento n. 26/2019, ha deciso che nell’ambito del rapporto di lavoro la base giuridica su cui deve avvenire legittimamente il trattamento dei dati personali dei dipendenti non è il loro consenso, ma il contratto individuale di lavoro stipulato oppure le disposizioni di legge che regolamentano i vari istituti.

In particolare, nel caso esaminato dal Garante privacy greco, una grande società è stata sanzionata a pagare 150 mila euro per aver violato l’art. 5 del Regolamento UE sulla protezione dei dati n. 2016/679 (c.d. GDPR) che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale.

Secondo il provvedimento del Garante, il datore di lavoro ha commesso una violazione perché ha dato ai dipendenti l’impressione che stesse trattando i loro dati secondo la base giuridica del consenso che avevano reso, mentre in realtà stava trattando i loro dati sotto una base giuridica diversa, sulla quale i lavoratori non erano mai stati informati.

Sempre secondo il Garante, la base giuridica per il corretto trattamento dei dati dei lavoratori non può essere il consenso perché il dipendente si trova in una situazione subordinata e di soggezione al potere direttivo del datore di lavoro, perciò non può ritenersi che il consenso sia stato rilasciato liberamente, tenuto conto dello squilibrio di forza rispetto al titolare del trattamento, ossia il datore di lavoro.