Una violazione privacy da parte di un lavoratore dipendente durante lo svolgimento delle proprie mansioni comporta, a carico dello stesso, effetti pregiudizievoli sia in relazione al GDPR sia in materia giuslavoristica. Ecco obblighi e adempimenti in capo al datore di lavoro per gestire una simile situazione.
L'inosservanza da parte del lavoratore dipendente degli obblighi e dei doveri in materia di privacy nell’ambito dello svolgimento delle proprie mansioni può determinare in capo allo stesso effetti pregiudizievoli non solo in relazione a quanto disposto dal Regolamento europeo 2016/679 (GDPR) ma, altresì, in materia giuslavoristica potendo far venire meno il rapporto fiduciario verso il datore di lavoro ex art. 2105 c.c. (“Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore, né divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa, o farne uso in modo da poter recare ad essa pregiudizio”) determinando così una responsabilità di natura disciplinare (oltreché l’obbligo al risarcimento dei danni).
Esempi di sanzioni disciplinari per violazione della privacy
Non mancano di certo esempi di sanzioni disciplinari, anche nella forma del licenziamento per giusta causa, inflitte dal datore di lavoro al dipendente a seguito della violazione della normativa sulla privacy. In proposito, la Corte di Cassazione, con sentenza n. 4871 del 2020, ha dichiarato legittimo il licenziamento irrogato da un Istituto di credito nei confronti di una dipendente per avere effettuato, in maniera del tutto ingiustificata ed estranea alle ragioni di servizio, interrogazioni di alcuni conti correnti di cui era temporaneamente referente, ledendo così la riservatezza e la sicurezza della clientela.
Implicazioni di violazioni privacy in ambito aziendale
Date le gravi implicazioni connesse alla violazione della privacy in ambito aziendale (sia per le conseguenze dannose in capo ai soggetti interessati a cui i dati personali violati si riferiscono che per la rilevanza sotto il profilo disciplinare e risarcitorio in capo al dipendente autore della violazione), viene richiesta al datore di lavoro – nella sua qualità di titolare del trattamento – l’adozione di adeguate misure tecniche ed organizzative volte a disciplinare, informare e formare il personale che, nell’esercizio dei propri compiti, tratta dati personali altrui. In particolare, posto il principio dell’accountability, il datore di lavoro – come anche precisato dal Garante per la protezione dei dati personali (Articolo 32 “Sicurezza del trattamento”) – dovrà garantire che:
-i locali ove si svolge il trattamento dei dati siano opportunamente protetti da indebite intrusioni da parte di soggetti non autorizzati;
-le comunicazioni aziendali si realizzino con modalità volte ad escludere l’indebita conoscenza dei dati ad opera di soggetti terzi ed in ogni caso non specificamente autorizzati;
-siano impartite agli incaricati chiare e precise istruzioni in relazione alla scrupolosa osservanza del principio di riservatezza e segretezza, anche con riguardo ad altri dipendenti del medesimo datore di lavoro che non siano stati espressamente autorizzati al trattamento.
Violazioni privacy in ambito aziendale: obblighi per il datore di lavoro
Alla luce di quanto sopra, e più precisamente, si ritiene che il titolare del trattamento, ovvero il datore di lavoro, debba adottare nei confronti dei propri incaricati ex art. 29 GDPR misure tecnico-organizzative adeguate alla specifica realtà aziendale di riferimento ed alla categoria di dati personali trattati e, in particolare:
-realizzare lettere di incarico specifiche per il ruolo e la mansione ricoperta dall’incaricato, opportunamente in forma scritta e firmata dallo stesso per accettazione/presa visione, che individui in maniera puntuale il perimetro del trattamento autorizzato nonché specifiche istruzioni operative vincolanti;
-programmare, in maniera costante nel tempo, un’adeguata formazione in materia di corretto trattamento dei dati personali; ciò, onde consentire al personale incaricato di essere sensibilizzato sul tema operando così in condizioni di piena consapevolezza ed in ossequio alle disposizioni di legge e della policy aziendale interna. L’obbligatorietà di tale adempimento è precisata sia dal summenzionato art. 29 nonché dal successivo art. 39 del Regolamento europeo 2016/679 ove, alla lettera b), viene attribuito al D.P.O., il compito, tra gli altri, di “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
-porre in essere idonee misure di sicurezza ex art. 32 GDPR onde evitare una indebita conoscenza dei o conoscibilità dei dati personali da parte di dipendenti non espressamente autorizzati o comunque trattamenti per finalità diverse da quelle aziendali. Tra le predette misure vi è certamente la formale, e precisa individuazione e ripartizione dei ruoli e relative responsabilità interne all’azienda in materia di trattamento dati nonché l’adozione di un regolamento aziendale (da condividere necessariamente con i soggetti destinatari) per il corretto utilizzo degli strumenti informatici, dei dispositivi aziendali (smartphone, PC, tablet ecc.), della posta elettronica e della rete internet onde codificare cogenti regole comportamentali.
News ripresa da CYBERSECURITY360