Le responsabilità privacy nelle organizzazioni: quando il collega è “terzo” rispetto al trattamento dati
Il soggetto interno che riceve illegittimamente i dati assume la veste di “terzo”, con potenziali conseguenze sanzionatorie anche nei suoi confronti
Comunicare dati personali di un lavoratore a un collega non autorizzato a trattare quei dati costituisce trattamento illecito di dati. Questo è un principio più volte ribadito dal Garante per la protezione dei dati personali.
Dal punto di vista soggettivo, nelle organizzazioni, sono rilevanti i “ruoli” privacy, vale a dire le posizioni individuali ricoperte da ciascun dipendente e collaboratore, da cui dipende il legittimo o meno trattamento di dati personali posto in essere nell’ambito delle rispettive mansioni.
Inoltre, occorre sempre considerare che l’esigenza di assicurare lacontinuità dell’attività lavorativa e l’efficienza organizzativa di uffici ed organizzazioni non può mai giustificare il passaggio di informazioni tra soggetti non autorizzati.
I “confini” del trattamento di dati personali da parte di dipendenti/collaboratori di enti e società sono delineati in primis dalle mansioni svolte dal lavoratore stesso, nonché dalle specifiche istruzioni (collegate naturalmente alle mansioni stesse) che il titolare del trattamento affida a quest’ultimo, in quanto “autorizzato al trattamento”.
Infatti, i dati personali dei dipendenti non possono essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento, ai sensi degli artt. 4, n. 10 e 29, GDPR nonché dell’art. 2-quaterdecies del Codice privacy.
Con riferimento al contesto lavorativo, il Garante privacy, con il Provvedimento di fine dicembre 2024 (doc. web n. 10102504), ha accostato espressamente il collaboratore aziendale non autorizzato a trattare determinati dati personali alla qualificazione soggettiva di “terzo”.
Infatti, la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10) del Regolamento, a una comunicazione di dati personali illecita in quanto sprovvista di un’idonea base giuridica.
Secondo tale ragionamento giuridico, il soggetto interno che riceve illegittimamente i dati assume la veste di “terzo”, con potenziali conseguenze sanzionatorie anche nei suoi confronti.
In base all’art. 4, n. 10, GDPR, infatti, è definito “terzo” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
In generale, il datore di lavoro deve limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino per svolgere le funzioni esercitate all’interno dell’organizzazione del titolare, nonché deve evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati. A tale proposito, come sottolineato dall’Autorità di controllo nelle“Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007 (par. 5.1), il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale e deve evitare di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di volta in volta indispensabili, pertinenti e non eccedenti. Nel Provvedimento sopra citato il Garante privacy sottolinea che sebbene tali Linee guida siano state adottate nel contesto del previgente quadro normativo in materia di protezione dei dati personali, esse forniscono indicazioni e orientamenti ancora validi.
Questi principi valgono anche quando la realtà effettiva dell’ente/azienda è caratterizzata da un contesto “ristretto”, a prescindere dal fatto che l’informazione illegittimamente comunicata sia relativa ad un fatto già noto al destinatario o, addirittura, fosse già nota nel contesto lavorativo.
Per evitare tali violazioni, il datore di lavoro, in qualità di titolare del trattamento, deve assicurare una continua formazione del personale sui temi della data protection, in grado di sviluppare una piena consapevolezza privacy.
Non solo. Come detto, il datore di lavoro è tenuto a fornire ai soggetti autorizzati istruzioni specifiche e dettagliate sul perimetro della loro attività e sul relativo trattamento dati autorizzato affinché ciascun dipendente abbia accesso esclusivamente alle informazioni strettamente necessarie allo svolgimento delle proprie mansioni. Tali istruzioni devono essere accompagnate da strumenti tecnici ed organizzativi adeguati, lato privacy.
Infine, l’organizzazione dovrà prevedere un sistema disciplinare applicabile nei confronti di dipendenti e collaboratori che, nonostante abbiano ricevuto adeguata formazione e strumenti idonei, pongano in essere comportamenti che possano compromettere la protezione dei dati personali e la sicurezza delle informazioni.
-U14373014067kTS-735x735@IlSole24Ore-Web.jpg?r=86x86)
