Mancata osservanza delle istruzioni impartite: la posizione del dipendente
Una volta designato o autorizzato un subordinato a svolgere determinati compiti connessi al trattamento dei dati personali, fino a che punto rimane responsabile il Titolare ovvero, fino a che punto l’assunzione di compiti e funzioni fa il paio con l’assunzione di profili di responsabilità? Esistono (e se sì, con quali limiti) ambiti di rivalsa del Titolare nei confronti del subordinato a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del sottoposto?
(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano. E' co-autore del Libro "Privacy e gestione del Personale")
L’argomento viene analizzato nel libro Privacy e Gestione del Personale. Il tema è stato analizzando prendendo spunto dall’ormai abrogato articolo 15 Cod. Privacy in raffronto con l’articolo 82 GDPR. Quest’ultima norma identifica nel Titolare e nel Responsabile i soggetti passivamente legittimati al risarcimento del danno (materiale o immateriale). La norma prevede sì una responsabilità solidale tra Titolari, co-Titolari, Responsabili e co-Responsabili, ma solo se detti soggetti risultino essere tutti coinvolti e tutti responsabili; nulla invece viene detto sulla solidarietà tra Titolare e/o Responsabile e persone fisiche designate e/o autorizzate.
Il manuale, poi, prosegue attraverso l’analisi di due elementi di segno contrario: da un lato, la specifica espressione (questa sì, indicata a chiare lettere nel detto emendamento) secondo cui l’attribuzione dei compiti e delle funzioni è assegnata dal Titolare e dal Responsabile a soggetti subordinati che “operano sotto la loro autorità” e sempre “sotto la propria responsabilità”; dall’altro, nello stesso provvedimento legislativo (il citato D.Lgs. 10 agosto 2018, n. 101) si riscontra l’abrogazione del vecchio art. 15 e l’introduzione del nuovo art. 2-quaterdecies. Rileverebbe quindi una responsabilità verticistica in base al più generale principio della accountability dei soggetti titolati.
Sul secondo quesito, relativo all’ambito della rivalsa, si nota un riferimento nel corpo dell’art. 82, comma 5 GDPR , ma con i seguenti importanti distinguo: ci si muove nell’ambito dei rapporti “di vertice” (tra Titolari e Responsabili) e non si argomenta di una “totale” rivalsa bensì solo di una rivalsa sulla rispettiva “quota parte”. In ogni caso, a fronte di quella che appare l’assenza di norme specifiche, riteniamo si possano seguire le norme generali che attengono alla fattispecie della rivalsa nei confronti di un dipendente.
Nelle azioni per il recupero dell’equivalente del danno causato per colpa (negligenza, imperizia o inosservanza delle disposizioni di servizio), sono necessari, a parere di chi scrive, diversi steps preliminari: la rivalsa deve avvenire a seguito di uno specifico iter sanzionatorio nel rispetto delle norme dello Statuto dei lavoratori e del CCNL di riferimento; potrebbe essere necessario incardinare un’azione giudiziaria per ottenere un titolo esecutivo pienamente esercitabile. È sempre da escludere un’azione unilaterale del Titolare e/o del Responsabile del trattamento in mancanza di un iter disciplinare correttamente e legittimamente incardinato; la stessa va esclusa nel caso le risultanze del procedimento evidenziassero ipotesi di caso fortuito o forza maggiore.