Violazione della privacy: la responsabilità disciplinare e risarcitoria del dipendente

L’inosservanza da parte del lavoratore dipendente degli obblighi e dei doveri in materia di privacy nell’ambito dello svolgimento delle proprie mansioni può determinare in capo allo stesso effetti pregiudizievoli non solo in relazione a quanto disposto dal Regolamento europeo 2016/679 (GDPR) ma, altresì, in materia giuslavoristica potendo far venire meno il rapporto fiduciario verso il datore di lavoro ex art. 2105 c.c.^[1] determinando così una responsabilità di natura disciplinare (oltreché l’obbligo al risarcimento dei danni).

Esempi di sanzioni disciplinari per violazione della privacy

Non mancano di certo esempi di sanzioni disciplinari, anche nella forma del licenziamento per giusta causa, inflitte dal datore di lavoro al dipendente a seguito della violazione della normativa sulla privacy.

In proposito, la Corte di Cassazione^[2], con sentenza n. 4871 del 2020, ha dichiarato legittimo il licenziamento irrogato da un Istituto di credito nei confronti di una dipendente per avere effettuato, in maniera del tutto ingiustificata ed estranea alle ragioni di servizio, interrogazioni di alcuni conti correnti di cui era temporaneamente referente, ledendo così la riservatezza e la sicurezza della clientela.

Implicazioni di violazioni privacy in ambito aziendale

Date le gravi implicazioni connesse alla violazione della privacy in ambito aziendale (sia per le conseguenze dannose in capo ai soggetti interessati a cui i dati personali violati si riferiscono che per la rilevanza sotto il profilo disciplinare e risarcitorio in capo al dipendente autore della violazione), viene richiesta al datore di lavoro – nella sua qualità di titolare del trattamento – l’adozione di adeguate misure tecniche ed organizzative volte a disciplinare, informare e formare il personale che, nell’esercizio dei propri compiti, tratta dati personali altrui^[3].

In particolare, posto il principio dell’accountability, il datore di lavoro – come anche precisato dal Garante per la protezione dei dati personali^[4] – dovrà garantire che:

1. i locali ove si svolge il trattamento dei dati siano opportunamente protetti da indebite intrusioni da parte di soggetti non autorizzati;
2. le comunicazioni aziendali si realizzino con modalità volte ad escludere l’indebita conoscenza dei dati ad opera di soggetti terzi ed in ogni caso non specificamente autorizzati;
3. siano impartite agli incaricati chiare e precise istruzioni in relazione alla scrupolosa osservanza del principio di riservatezza e segretezza, anche con riguardo ad altri dipendenti del medesimo datore di lavoro che non siano stati espressamente autorizzati al trattamento.

Violazioni privacy in ambito aziendale: obblighi per il datore di lavoro

Alla luce di quanto sopra, e più precisamente, si ritiene che il titolare del trattamento, ovvero il datore di lavoro, debba adottare nei confronti dei propri incaricati ex art. 29 GDPR misure tecnico-organizzative adeguate alla specifica realtà aziendale di riferimento ed alla categoria di dati personali trattati e, in particolare:

1. realizzare lettere di incarico specifiche per il ruolo e la mansione ricoperta dall’incaricato, opportunamente in forma scritta e firmata dallo stesso per accettazione/presa visione, che individui in maniera puntuale il perimetro del trattamento autorizzato nonché specifiche istruzioni operative vincolanti;
2. programmare, in maniera costante nel tempo, un’adeguata formazione in materia di corretto trattamento dei dati personali; ciò, onde consentire al personale incaricato di essere sensibilizzato sul tema operando così in condizioni di piena consapevolezza ed in ossequio alle disposizioni di legge e della policy aziendale interna. L’obbligatorietà di tale adempimento è precisata sia dal summenzionato art. 29 nonché dal successivo art. 39 del Regolamento europeo 2016/679 ove, alla lettera b), viene attribuito al D.P.O., il compito, tra gli altri, di “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
3. porre in essere idonee misure di sicurezza ex art. 32 GDPR^[5] onde evitare una indebita conoscenza dei o conoscibilità dei dati personali da parte di dipendenti non espressamente autorizzati o comunque trattamenti per finalità diverse da quelle aziendali. Tra le predette misure vi è certamente la formale, e precisa individuazione e ripartizione dei ruoli e relative responsabilità interne all’azienda in materia di trattamento dati nonché l’adozione di un regolamento aziendale (da condividere necessariamente con i soggetti destinatari) per il corretto utilizzo degli strumenti informatici, dei dispositivi aziendali (smartphone, PC, tablet ecc.), della posta elettronica e della rete internet onde codificare cogenti regole comportamentali.

 

NOTE

1. Art. 2105 c.c.: “Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio” ↑

2. In tal senso il Tribunale di Frosinone, sez. lav., Provvedimento del 07/04/2021 n. 317 nonché il Tribunale di Cassino, Ordinanza del 23 novembre 2020. ↑

3. In proposito, l’art. 29 “GDPR” afferma come “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. L’art. 2 – quaterdecies del D.lgs. 101 del 10 agosto 2018 afferma: “Il titolare o responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”. ↑

4. “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” (Deliberazione n. 53 del 23 novembre 2006) ↑

5. Articolo 32 “Sicurezza del trattamento”

   1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

   a) la pseudonimizzazione e la cifratura dei dati personali;

   b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

   c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

   d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

   2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

   3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

   4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. ↑