Le imprese possono dribblare le responsabilità privacy quando le violazioni sono commesse dai dipendenti che abusano della loro posizione ed eccedono le loro mansioni. Ma per arrivare a questo risultato la strada è in salita e, comunque, ci vogliono apposite clausole nelle nomine dei dipendenti come autorizzati al trattamento, nelle informative rese agli stessi e nelle istruzioni e policy aziendali. È quanto discende da una pronuncia del Garante della privacy del Belgio, la n.16 del 27 febbraio 2023 (caso n. 2021-06717), che ha prosciolto un ente, ritenendo di separare la posizione di quest’ultimo da quella di una dipendente, che, invece, è stata formalmente ammonita per avere consultato dati di terzi al di fuori di esigenze di servizio.
Il caso belga. Una persona ha appreso che i suoi dati personali, presenti in una banca dati pubblica, erano stati consultati da un’assistente sociale, dipendente di un istituto di assistenza. Secondo la breve ricostruzione dell’episodio, la vittima di accesso abusivo ai dati era l’ex compagna del padre dell’assistente sociale. Queste scarne parole inquadrano la consultazione dei dati in una cornice familiare e di una finalità, perseguita dall’assistente sociale, estranea alle proprie mansioni lavorative. L’interessata ha portato davanti al Garante del Belgio sia l’assistente sociale sia l’ente datore di lavoro di quest’ultima.
L’autorità di controllo belga ha distinto le posizioni dei due soggetti messi sul banco degli accusati. In particolare, il Garante belga ha affermato innanzi tutto che, di regola, l’ente è titolare del trattamento consistente nella consultazione dei dati effettuata dai suoi dipendenti. Se questa è la regola, continua la pronuncia in esame, ciò non esclude che anche il dipendente possa acquisire la qualifica di titolare del trattamento autonomo. Infatti, occorre distinguere tra le consultazioni di data-base nell’ambito delle finalità corrispondenti agli scopi istituzionali o aziendali di un ente dalle consultazioni svolte abusivamente a fini privati da parte del personale. Anche se usa gli strumenti per la consultazione messi a disposizione dall’ente, qualora la consultazione dei dati avvenga abusivamente per scopi estranei ai compiti di ufficio, secondo il garante belga, il dipendente deve essere considerato un titolare del trattamento dei dati.
Proseguendo il discorso, il garante del Belgio, considera che i dipendenti hanno l’obbligo di accedere alle banche dati rispettando scupolosamente le finalità perseguite dal datore di lavoro. Se si devia da questo percorso, il dipendente accede ai dati senza un’adeguata base giuridica. La conseguenza è che il dipendente viola il regolamento Ue sulla privacy n. 2016/679 (Gdpr) e, in particolare degli articoli 5 (principio di liceità) e 6 (condizione di liceità). Il Garante belga, peraltro, si è riservato di proseguire i suoi accertamenti a riguardo di eventuali mancanze del datore di lavoro a proposito delle misure tecniche preventive rispetto ad accessi abusivi. Nel frattempo, ha appurato che l’ente coinvolto nella vicenda riportata ha adottato misure adeguate e sufficienti per prevenire e individuare l’uso abusivo del data-base e ha archiviato la segnalazione ai danni di quest’ultimo.
I datori di lavoro. La pronuncia in esame affronta il tema se un ente possa liberarsi della responsabilità per violazioni della privacy commessi dai propri dipendenti e fornisce la risposta positiva, a condizione che l’ente abbia predisposto misure tecniche preventive rispetto ad accessi abusivi. Proseguendo nel ragionamento, un ente che voglia dimostrare che un suo dipendente ha operato sfruttando dolosamente la sua posizione e interrompendo il rapporto organico dipendente-ente, deve indicare quali misure tecniche e organizzative idonee abbia adottato. È una strada difficile, ma non impossibile. Ci vogliono misure organizzative quali, innanzi tutto, nomine dei dipendenti quali autorizzati al trattamento (articolo 2-quaterdecies del Codice della privacy) estremamente dettagliate e chiare a proposito di: finalità perseguite dall’ente; finalità vietate all’ente e ai dipendenti; strumenti e modalità di utilizzo; conseguenze in caso di violazione delle finalità.
A corredo delle nomine occorrono istruzioni e regolamenti interni, aventi lo scopo di illustrare gli aspetti tecnici individuati citati nelle nomine stesse. Quanto alle misure tecniche, possono consistere in predisposizioni di indici di anomalia e di modalità tecniche di segnalazione delle anomalie stesse e nella predisposizione di procedure di controllo degli accessi soprattutto in relazione al verificarsi delle anomalie censite.
In ogni caso, occorrono, informative ai dipendenti altrettanto dettagliate sulla possibilità dei controlli e dell’uso dei relativi dati da parte dell’ente e, a questo riguardo, si rammenta che devono rispettarsi le prescrizioni dell’articolo 4 dello Statuto dei lavoratori. L’ente deve anche predisporre un apparato documentale e tecnico idoneo a prevenire il rimprovero di non essersi organizzata bene (cosiddetta colpa di organizzazione). D’altra parte, se non ci fosse mai la possibilità per gli enti di essere esonerati da colpa per l’attività dolosa del dipendente, allora, ricorrerebbe un’ipotesi di responsabilità oggettiva (senza colpa), cosa che è espressamente esclusa da sentenze della Cassazione.
Peraltro, se il Garante italiano ha avuto occasione di scindere la posizione del titolare del trattamento rispetto a quella del fornitore-responsabile esterno, qualora il primo abbia istruito e controllato il secondo, questa possibilità di scissione deve poter essere dimostrata dall’ente anche quando la violazione è frutto dell’autonoma volontà illecita del singolo dipendente. In ogni caso, la dimostrazione della condotta del dipendente, se non per stornare la responsabilità, servirà all’ente per una rivalsa interna in relazione al rapporto di lavoro.
Fonte: Italia Oggi del 17 aprile 2023 – di Antonio Ciccia Messina