Il Garante per la protezione dei dati personali ha ribadito, in un recente provvedimento, un principio di assoluta rilevanza: comunicare dati personali di un lavoratore a un suo collega non autorizzato si configura come un trattamento illecito.
Il soggetto interno che riceve i dati, in questo contesto, assume la veste di “terzo”, con potenziali conseguenze sanzionatorie anche nei suoi confronti.
Questo articolo analizza nel dettaglio il provvedimento del Garante, soffermandosi sulla definizione di comunicazione illecita, sulle responsabilità del datore di lavoro e sulla posizione dell’”altro dipendente” non autorizzato.
Indice degli argomenti
Il caso concreto
In un ospedale privato, il responsabile della gestione del personale, allo scopo di concordare la pianificazione delle presenze nel periodo estivo, ha inviato un’unica e-mail simultaneamente a un’impiegata e a una sua collega, rendendo noto a quest’ultima che la prima usufruiva delle agevolazioni previste dalla legge 5 febbraio 1992, n. 104, notoriamente riferita a benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari.
L’impiegata ha quindi presentato un reclamo all’Autorità Garante lamentando una presunta violazione della normativa in materia di protezione dei dati personali.
Il Garante, intervenuto con il provvedimento n. 796 del 19 dicembre 2024 (doc. web n. 10102504), ha:
- ribadito che anche il semplice riferimento a una normativa che tutela determinate categorie di lavoratori può costituire un trattamento di dati sensibili, in quanto implica la divulgazione di una condizione protetta dal GDPR;
- evidenziato che al datore di lavoro è richiesto di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino per svolgere le funzioni esercitate all’interno dell’organizzazione del titolare e di ciascuna singola unità o struttura organizzativa nonché di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati;
- chiarito che l’esigenza di assicurare la continuità dell’attività lavorativa e l’efficienza organizzativa di uffici e amministrazioni, tenendo conto della presenza in servizio o meno del personale, non deve comportare la comunicazione ai colleghi delle specifiche causali di assenza di taluni di essi;
- accertato l’illiceità del trattamento e applicato la sanzione dell’ammonimento, avendo riscontrato la violazione degli articoli 5, par. 1, lett. a) (principi di liceità, correttezza e trasparenza) e 6 (condizioni di liceità del trattamento) del GDPR, nonché dell’art. 2-ter del Codice in materia di protezione dei dati personali.
Il ruolo di “terzo” del lavoratore dipendente “non autorizzato”
Uno degli aspetti più innovativi del provvedimento è la qualificazione del dipendente interno come “terzo” ai sensi dell’art. 4, n. 10, del GDPR.
Questo principio sottolinea che non basta far parte della stessa organizzazione per avere accesso ai dati personali di un collega: è necessario che vi sia:
- una specifica autorizzazione;
- un’esigenza legata alle mansioni assegnate.
Il concetto di “terzo” non si limita, quindi, a soggetti esterni all’azienda, ma si estende anche ai lavoratori interni che, in assenza di una chiara base giuridica, non possono trattare i dati di altri colleghi.
Cerchiamo di capire da dove prende le mosse questa tesi.
Comunicazione di dati personali e concetto di terzo
Secondo quanto stabilito dall’art. 2 ter, comma 4 lett. a) del Codice Privacy, per “comunicazione” di dati personali si intende il dare conoscenza dei dati personali – in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione – a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate.
La definizione di “terzo” (art. 4, n. 10, GDPR) comprende qualsiasi soggetto che non sia né il titolare né il responsabile del trattamento, né un soggetto autorizzato ad agire sotto l’autorità diretta del titolare o del responsabile.
Ciò implica che il collega che riceve, senza necessità, informazioni riguardanti un altro lavoratore dipendente assume la qualifica di “terzo”. Di conseguenza, in assenza di un’adeguata base giuridica, tale trasmissione di dati può configurarsi come una comunicazione illecita.
Potenziale responsabilità del “terzo destinatario”
Un ulteriore aspetto suggestivo riguarda la posizione di chi, in concreto, riceve involontariamente dati personali in modo illecito.
Sebbene la sanzione principale incomba sul titolare del trattamento (ossia la persona o l’ente che ha commesso la violazione), anche il destinatario non autorizzato – che, suo malgrado, ha “raccolto” il dato senza averne titolo – potrebbe, in linea teorica, essere inquadrato come titolare autonomo del trattamento per quella specifica operazione.
Nel caso in cui utilizzasse in qualunque forma i dati ricevuti, potrebbe infatti essere chiamato a risponderne. Si tratta di un aspetto ancora poco approfondito nella prassi, che il caso in esame mette chiaramente in luce.
Lezione appresa per i titolari del trattamento
Il datore di lavoro, in qualità di titolare del trattamento, è tenuto ad adottare misure organizzative e tecniche adeguate al fine di prevenire incidenti simili a quello in esame.
Tra le principali azioni da implementare per i soggetti autorizzati si annoverano:
- la formazione del personale, che dovrebbe riguardare sia la protezione dei dati personali sia l’uso corretto degli strumenti informatici (ad esempio, la gestione appropriata della posta elettronica), con l’obiettivo di ridurre al minimo il rischio di errori;
- una definizione chiara e rigorosa del perimetro dei soggetti autorizzati, affinché ciascun dipendente abbia accesso solo alle informazioni strettamente necessarie allo svolgimento delle proprie mansioni;
- l’adozione di strumenti di sicurezza, come l’invio separato di documenti sensibili, per garantire la riservatezza dei dati;
- un sistema disciplinare, da applicare nei confronti dei soggetti autorizzati che, nonostante abbiano ricevuto adeguata formazione e strumenti idonei, perseverino in comportamenti che possano compromettere la protezione dei dati personali e, più in generale, la sicurezza delle informazioni.
Inoltre, il titolare del trattamento dovrebbe sensibilizzare tutti i collaboratori, compresi coloro che non sono formalmente autorizzati, affinché, qualora venissero a conoscenza – anche involontariamente – di informazioni non di loro pertinenza, segnalino immediatamente l’anomalia, consentendo di porvi rimedio tempestivamente e di limitarne le conseguenze.
Tale circostanza potrebbe verificarsi non solo in situazioni analoghe a quella in esame, ma anche nel caso in cui un lavoratore trovasse documentazione riservata incustodita, ad esempio nei pressi di una fotocopiatrice, o disponesse di permessi di accesso a dati più estesi di quanto necessario per la propria funzione.
In questi casi, più che di formazione si tratta di promuovere una consapevolezza diffusa tra tutti i collaboratori aziendali – inclusi gli esterni che accedono ai dati – affinché comprendano il loro ruolo nella tutela delle informazioni e le eventuali responsabilità derivanti da un trattamento inappropriato, anche se involontario.
Conclusioni
Dal caso esaminato emerge un risvolto rilevante e suggestivo che meriterebbe ulteriori approfondimenti: il lavoratore dipendente non autorizzato che riceve i dati personali riguardanti un collega diventa un “terzo” a tutti gli effetti. In determinate circostanze, anche a suo carico potrebbero sorgere profili di responsabilità, qualora utilizzasse o trattasse quei dati senza il supporto di un’adeguata base giuridica.
Alla luce di ciò, diviene essenziale formare costantemente il personale sulle policy aziendali di protezione dei dati, mantenere aggiornate le procedure e adottare misure preventive di controllo.
L’obiettivo finale è quello di garantire ai dipendenti che i loro dati personali siano sempre adeguatamente protetti e di cambiare alcuni approcci “non conformi” ai principi di protezione dei dati personali nella gestione dei rapporti di lavoro.
