NEWS

Mancata osservanza delle istruzioni impartite: la posizione del dipendente

Una volta designato o autorizzato un subordinato a svolgere determinati compiti connessi al trattamento dei dati personali, fino a che punto rimane responsabile il Titolare ovvero, fino a che punto l’assunzione di compiti e funzioni fa il paio con l’assunzione di profili di responsabilità? Esistono (e se sì, con quali limiti) ambiti di rivalsa del Titolare nei confronti del subordinato a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del sottoposto?

Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano

(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano. E' co-autore del Libro "Privacy e gestione del Personale")

L’argomento viene analizzato nel libro Privacy e Gestione del Personale. Il tema è stato analizzando prendendo spunto dall’ormai abrogato articolo 15 Cod. Privacy in raffronto con l’articolo 82 GDPR. Quest’ultima norma identifica nel Titolare e nel Responsabile i soggetti passivamente legittimati al risarcimento del danno (materiale o immateriale). La norma prevede sì una responsabilità solidale tra Titolari, co-Titolari, Responsabili e co-Responsabili, ma solo se detti soggetti risultino essere tutti coinvolti e tutti responsabili; nulla invece viene detto sulla solidarietà tra Titolare e/o Responsabile e persone fisiche designate e/o autorizzate.

Il manuale, poi, prosegue attraverso l’analisi di due elementi di segno contrario: da un lato, la specifica espressione (questa sì, indicata a chiare lettere nel detto emendamento) secondo cui l’attribuzione dei compiti e delle funzioni è assegnata dal Titolare e dal Responsabile a soggetti subordinati che “operano sotto la loro autorità” e sempre “sotto la propria responsabilità”; dall’altro, nello stesso provvedimento legislativo (il citato D.Lgs. 10 agosto 2018, n. 101) si riscontra l’abrogazione del vecchio art. 15 e l’introduzione del nuovo art. 2-quaterdecies. Rileverebbe quindi una responsabilità verticistica in base al più generale principio della accountability dei soggetti titolati.

L'autorizzato al trattamento di dati deve essere istruito

Sul secondo quesito, relativo all’ambito della rivalsa, si nota un riferimento nel corpo dell’art. 82, comma 5 GDPR , ma con i seguenti importanti distinguo: ci si muove nell’ambito dei rapporti “di vertice” (tra Titolari e Responsabili) e non si argomenta di una “totale” rivalsa bensì solo di una rivalsa sulla rispettiva “quota parte”. In ogni caso, a fronte di quella che appare l’assenza di norme specifiche, riteniamo si possano seguire le norme generali che attengono alla fattispecie della rivalsa nei confronti di un dipendente.

Nelle azioni per il recupero dell’equivalente del danno causato per colpa (negligenza, imperizia o inosservanza delle disposizioni di servizio), sono necessari, a parere di chi scrive, diversi steps preliminari: la rivalsa deve avvenire a seguito di uno specifico iter sanzionatorio nel rispetto delle norme dello Statuto dei lavoratori e del CCNL di riferimento; potrebbe essere necessario incardinare un’azione giudiziaria per ottenere un titolo esecutivo pienamente esercitabile. È sempre da escludere un’azione unilaterale del Titolare e/o del Responsabile del trattamento in mancanza di un iter disciplinare correttamente e legittimamente incardinato; la stessa va esclusa nel caso le risultanze del procedimento evidenziassero ipotesi di caso fortuito o forza maggiore.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Ecco quali sono le autorità per la privacy più severe d'Europa: quasi 14 milioni di euro di sanzioni in un solo mese
Next Approvato dalla Commissione europea un provvedimento sulla sicurezza dei dispositivi senza fili

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy