In occasione di sanzioni o richieste di risarcimento danni per le violazioni del GDPR, nelle aziende si assiste spesso ad uno scarico di responsabilità tra datore di lavoro e lavoratore.
Questi “Ping Pong” di accuse tra datore di lavoro e lavoratore, minano non solo il rapporto fiduciario che caratterizza quello tra datore di lavoro e dipendenti, ma rappresenta un pericolo per la solidità dell’intera organizzazione in materia di compliance al GDPR.
Recentemente due interessanti sentenze contengono importanti principi che aiutano a delimitare i profili di responsabilità ed a individuare i mezzi correttivi utilizzabili per invocare il conseguente ed eventuale esonero.
Indice
Chi paga le conseguenze in caso di violazioni del GDPR?
L’11 aprile scorso, la Corte di Giustizia si è pronunciata in materia di risarcimento di danni per violazioni del GDPR. Tra le altre cose, ha chiarito espressamente che:
“Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”
Nel caso specifico, la Corte di Giustizia è stata chiamata per pronunciarsi sulla corretta interpretazione dell’esonero di responsabilità nel caso di violazione del GDPR dovuto da errore umano da parte di lavoratori dipendenti incaricati di trattare dati personali per conto della propria Azienda (titolare del trattamento).
D’altro canto, risulta complicato al giorno d’oggi individuare settori di attività e professioni che non comportano alcun trattamento di dati personali, ragion per cui la conoscenza effettiva del perimetro di responsabilità risulta essere oltre modo essenziale.
L’opinione della Corte di giustizia
Andando dritto al punto, la Corte di Giustizia Europea ha definito come insufficiente, ai fini dell’esonero di responsabilità, comprovare che il danno è stato causato dall’errore di una persona che agisce sotto l’autorità del datore di lavoro, ai sensi dell’articolo 29 del GDPR.
È evidente che un dipendente del datore di lavoro è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare del trattamento. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti.
Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del GDPR semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità.
Nel merito quindi, la Corte ha confermato la sussistenza della responsabilità del datore di lavoro, per i danni “privacy” derivanti da errori commessi dai propri dipendenti in violazione delle istruzioni operative ricevute. Le Aziende si possono esonerare dalla responsabilità, unicamente se sono in grado di dimostrare che il proprio dipendente ha agito in maniera del tutto autonoma e per scopi propri ed individuali. Questo, però, non si applica se l’errore è avvenuto nell’ambito delle mansioni assegnate, poiché il datore di lavoro ha il dovere di vigilare sull’esattezza delle prestazioni e risponde quindi a titolo di culpa in vigilando.
L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che: non può essere sufficiente che il datore di lavoro, per essere esonerato dalla sua responsabilità, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, come nel caso dei propri dipendenti.
E se il dipendente si rifiutasse a trattare i dati ed a rispettare le istruzioni operative? Come può l’azienda esonerarsi dalle responsabilità connesse alle violazioni del GDPR? In risposta a questi quesiti è intervenuto il Tribunale di Udine.
Il caso italiano: l’opinione del tribunale di Udine
Il Tribunale di Udine, infatti, conformandosi alle interpretazioni della Corte di giustizia, si è pronunciato in merito alla legittimità di un provvedimento disciplinare irrogato nei confronti di una dipendente.
La dipendente in questione ricopriva la mansione di caposquadra portalettere all’interno di un ufficio postale, il che implica necessariamente il trattamento in senso tecnico di dati personali altrui.
Nel rispetto della normativa, la datrice di lavoro aveva comunicato alla dipendente la conseguente designazione a “Incaricato al trattamento dei dati personali” ai sensi del Codice della privacy in vigore e del Regolamento UE 2016/679.
La dipendente però si era rifiutata di sottoscrivere per accettazione e presa visione tale comunicazione, negando espressamente la propria volontà a trattare – per ragioni di servizio – dati sensibili altrui e si era dichiarata in attesa di ricevere un diverso incarico lavorativo.
In seguito, la società aveva consegnato alla ricorrente una nota con cui le comunicava che il suo rifiuto a sottoscrivere per accettazione tale designazione le rendeva impossibile eseguire le prestazioni lavorative, con conseguente mancata erogazione della relativa retribuzione.
Visto il perdurante rifiuto a trattare i dati ed a osservare le istruzioni impartite, la datrice di lavoro aveva infine avviato nei confronti della dipendente anche un procedimento disciplinare, che si era concluso con l’irrogazione della sospensione dal servizio e dalla retribuzione per dieci giorni.
Dinanzi al tribunale, a fronte del dato di fatto della mancata sottoscrizione ed alla luce della normativa applicabile, si chiedeva se risultasse giustificato e legittimo irrogare un provvedimento datoriale di sospensione dal servizio e della retribuzione sul presupposto che il rifiuto di sottoscrivere tale atto “per accettazione” renda “impossibile” lo svolgimento della prestazione lavorativa.
La decisione del Tribunale
Il Tribunale ha sostanzialmente sostenuto le ragioni del datore di lavoro. Infatti, la lettera di designazione quale incaricato al trattamento dei dati personali conteneva:
- le indicazioni normative,
- la definizione dell’oggetto e dei limiti del trattamento stesso,
- le necessarie istruzioni operative interne
- gli impegni:
- a trattare i dati personali altrui nel rispetto della disciplina di legge applicabile (oltre che delle specifiche indicazioni aziendali);
- a svolgere la specifica formazione sul punto fornita dalla datrice di lavoro;
- a mantenere la dovuta riservatezza sui dati personali trattati nell’esecuzione delle mansioni professionali svolte.
Pertanto, la Società, in occasione del rifiuto espresso di accettare la nomina, si è trovata, per un fatto determinato dalla volontà della propria dipendente e comunque fuori dalla propria sfera di controllo, nelle condizioni di dover necessariamente sospenderla dal servizio.
Consentire alla dipendente di prestare il servizio senza la sottoscrizione della lettera di designazione avrebbe comportato per il datore di lavoro una violazione del GDPR, esponendosi, inevitabilmente, al rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR) sia di natura amministrativa (cfr. artt. 83 e 84 GDPR).
Difatti, la reintegrazione della lavoratrice nelle mansioni di Caposquadra avrebbe comportato necessariamente e automaticamente l’impossibilità per la parte datoriale di garantire e poter dimostrare (come è invece obbligata a fare) che la designata tratti tutti i dati personali di clienti/fornitori/colleghi nel rispetto della normativa applicabile e dell’obbligo di riservatezza, e che detta lavoratrice acquisisca e mantenga nel tempo un’adeguata conoscenza della disciplina in materia di protezione dei dati personali.
Infine, per completezza, appare certamente non configurabile in questo caso l’operatività di un obbligo di repêchage, dal momento che l’impossibilità della lavoratrice di prestare servizio s’è verificata per scelta della lavoratrice stessa, non certo per scelta datoriale.
Pertanto, il Tribunale di Udine ha confermato la legittimità del provvedimento disciplinare irrogato nei confronti della dipendente.
Gli autorizzati al trattamento per il diritto del lavoro
L’elemento essenziale che caratterizza il rapporto di lavoro subordinato (e lo differenzia da quello autonomo) è la subordinazione, cioè l’assoggettamento del lavoratore al potere direttivo e disciplinare del datore di lavoro con limitazione della sua autonomia e il suo inserimento nell’organizzazione aziendale.
Specularmente ai poteri del datore di lavoro, troviamo l’obbligazione principale del lavoratore consistente nello svolgere le mansioni assegnate (la prestazione lavorativa), secondo le direttive ricevute, l’orario concordato e nel luogo indicato dal datore di lavoro come previsto all’articolo 2104 del Codice civile.
L’obbligo di diligenza e obbedienza sono delle specificazioni dell’obbligazione connessa all’esecuzione della prestazione lavorativa, e rappresentano la «misura» della prestazione minima dovuta dal lavoratore ai fini del corretto adempimento dell’obbligazione di lavoro. Chiaro che la diligenza deve essere rispettata anche in relazione degli obblighi accessori del lavoratore, come il necessario trattamento di dati personali, in virtù dei reciproci obblighi di correttezza e buona fede contrattuale.
La nomina ad autorizzato al trattamento ha natura unilaterale, essendo un atto che promana dalla parte datoriale, ed è espressione dell’esercizio del potere direttivo di cui egli è il solo titolare. È tuttavia altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica una accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti).
Coerentemente con il principio di responsabilizzazione (cd. “Accountability”), nonostante sia stato eliminato l’obbligo formale di designazione per iscritto (a differenza della nomina a responsabile del trattamento previsto dall’articolo 28 GDPR), è buona prassi comunque predisporla al fine di rendere edotto il dipendente dei principi cardine che l’Autorizzato è tenuto a rispettare, accompagnata dalle istruzioni operative e dai regolamenti aziendali.
La mancata accettazione (al di là della mera firma su un foglio di carta) da parte del lavoratore dell’incarico, comporta delle inevitabili conseguenze nella gestione del rapporto di lavoro e che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante.
Invero, l’art. 24 GDPR impone al Titolare del trattamento di adottare “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”
Sostanzialmente viene imposto alle Aziende di organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento (“dimostrare”) di aver adottato tali misure organizzative.
D’altro canto, l’articolo 32, paragrafo 4, del GDPR, relativo alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento adotti misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a dati personali, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri.
Conclusioni e best-practices
In forza di quanto detto, dunque, le Aziende devono garantire che il trattamento dei dati effettuato dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge, dal momento che le stesse rispondono direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati.
Per invocare l’esonero di responsabilità, è in primo luogo necessario che le Aziende formino adeguatamente i propri designati al trattamento e aggiornino periodicamente tale formazione; adottando inoltre misure organizzative che consentano di verificare l’osservanza delle direttive datoriali, al fine di poter “dimostrare” che i propri dipendenti trattino i dati personali altrui in modo legittimo.
E’ quindi chiaro, l’onere della prova grava in capo alle Aziende in tema di trattamento dati. Pertanto, cercando di facilitare i conseguenti adempimenti, suggeriamo di osservare i punti come di seguito elencati:
1.Individuare i soggetti che trattato dati personali per conto del datore di lavoro, al fine di eseguire la prestazione lavorativa;
2. Nominare formalmente tali soggetti;
3. Istruire e formare in merito al corretto trattamento dei dati, delimitando il perimetro dello stesso;
4. Eseguire audit periodici per verificare che le istruzioni siano seguite correttamente, documentare eventuali discrepanze e implementare piani di correzione (come la pianificazione di formazioni mirate e, se necessario, l’adozione di provvedimenti disciplinari).