FOCUS GDPR e dipendenti: quale quadro giuridico?

Legal Watch – Maggio 2019.

Due casi recenti che hanno coinvolto un'importante libreria online sollevano interrogativi sul margine di manovra concesso ai dipendenti nel trattamento dei dati personali dei clienti dell'azienda.

Sebbene il trattamento dei dati sia ormai regolamentato in dettaglio dalla legge e da numerose linee guida, siano esse quelle della CNIL o del Comitato europeo per la protezione dei dati (EDPB), le responsabilità all'interno dell'azienda stessa sollevano ancora molti interrogativi.

Qual è la responsabilità del datore di lavoro in merito al trattamento dei dati personali da parte dei propri dipendenti? È opportuno tenere a mente alcuni principi:

L'ambito di applicazione del GDPR è ampio[1]. Infatti, il trattamento automatizzato dei dati personali comprende le operazioni effettuate sui dati utilizzando software tradizionalmente utilizzati nelle aziende: database, posta elettronica, fogli di calcolo, ad esempio, nonché, ove applicabile, il trattamento dei dati effettuato tramite software di elaborazione testi.

La responsabilità delle azioni dei dipendenti ricade generalmente sul datore di lavoro ai sensi del Codice civile2 ma anche ai sensi del GDPR, poiché il datore di lavoro è il titolare del trattamento: è il datore di lavoro che definisce i mezzi e le finalità del trattamento ai sensi della legge3.

Per lo stesso motivo, il datore di lavoro sarà responsabile in caso di violazione della sicurezza, anche se derivante dalle azioni di un dipendente, perché è il datore di lavoro ad avere l'obbligo di proteggere i dati all'interno della propria azienda4.

Se il datore di lavoro è responsabile nei confronti di terzi, può naturalmente agire contro il dipendente che ha agito illecitamente, in particolare per abuso di fiducia o frode, e irrogare una sanzione disciplinare o persino il licenziamento. Anche l'accesso o il mantenimento fraudolento dell'accesso a tutto o parte di un sistema di elaborazione dati automatizzato costituisce reato.

Indipendentemente dalla responsabilità del datore di lavoro, anche il dipendente può avere una propria responsabilità nei confronti del datore di lavoro, ma anche nei confronti di terzi: il dipendente che si discosta dalle istruzioni impartite dal datore di lavoro e persegue finalità proprie diventa egli stesso responsabile del trattamento ai sensi della legge (vedere l'analisi del Gruppo di lavoro europeo sull'articolo 29 6 – ora EDPB).

Lo stesso vale se viola lo statuto informatico dell'azienda per utilizzare i dati per proprio conto.

In conclusione, è fondamentale che il datore di lavoro adotti le seguenti precauzioni:

• Definire con precisione le finalità e le modalità del trattamento e portare tale quadro a conoscenza dei dipendenti
• Fategli firmare una clausola di riservatezza allegata al contratto di lavoro e una carta informatica
• Coinvolgere il DPO e il comitato aziendale nella preparazione di questi documenti.

Tali precauzioni avranno il duplice vantaggio di tutelare meglio le persone i cui dati vengono trattati e di chiarire la responsabilità del datore di lavoro in caso di abuso.

È importante sottolineare che anche i dipendenti beneficiano della tutela della propria privacy e dei propri dati personali sul posto di lavoro. Questo aspetto sarà oggetto di ulteriori sviluppi.

E inoltre:

In Francia:

Il 15 aprile la CNIL ha pubblicato il suo rapporto di attività e ha annunciato che incentrerà i suoi futuri audit sul rispetto dei diritti delle persone, sul trattamento dei dati dei minori e sulla ripartizione delle responsabilità tra il titolare del trattamento e il subappaltatore.

Ora presieduta da Marie-Laure Denis, la CNIL ha un nuovo collegio.

In Europa:

Il 12 aprile, il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida sulla raccolta dei dati nel contesto dei servizi della società dell'informazione, concentrandosi in particolare sulla base giuridica per la raccolta nel contesto di un rapporto contrattuale con il cliente (articolo 6 (1) (B) GDPR). Il testo è soggetto a consultazione pubblica fino al 24 maggio.

Nel mondo:

La Nigeria adotta una legge sulla protezione dei dati simile al GDPR.

1 Articoli 2.1. e 4 1) e 2) GDPR.

2 Si vedano in particolare l'articolo 1242 comma 1 e comma 5 del Codice civile.

3 Articolo 4.7) GDPR.

4 Articolo 32 GDPR.

5 Articolo 323-1 del Codice penale.

6 Pagina 16