Furto di dati sul pc del dipendente in smart working, a pagare la sanzione è il datore di lavoro
Imprese sanzionate per violazione della privacy in caso di furto di dati dal computer personale del dipendente utilizzato dallo stesso per lavoro. È quanto deciso dal Tribunale amministrativo provinciale di Varsavia (sentenza del 13 maggio 2021, nel caso II SA/Wa 2129/20, solo ora resa nota), che, confermando un precedente provvedimento del Garante della privacy polacco, ha condannato un'università alla sanzione di circa 11 mila euro per non avere attuato misure adeguate a impedire la divulgazione di dati personali su un laptop di un dipendente.
In sintesi, il giudice ha ritenuto responsabile l'università, in quanto rivestita della qualifica di titolare del trattamento, dal momento che essa ha determinato le finalità e i mezzi del trattamento dei dati trattati con il computer portatile e il dipendente ha agito per suo conto. Anche questi sono, dunque, rischi dello smartworking, per attuare il quale non è stato e non è infrequente che si chieda al lavoratore di utilizzare propri strumenti e apparecchi.
La vicenda polacca. Il 20 agosto 2020, il Garante della privacy per la Polonia ha irrogato una sanzione amministrativa dell'importo di circa 11 mila euro all'università di Scienze della Vita di Varsavia, per non aver adottato misure tecniche e organizzative sufficienti a prevenire l'esposizione di oltre 80 mila dati sui su studenti dell'ateneo. Il Garante polacco ha accertato che la violazione dei dati è avvenuta a seguito di un furto del computer portatile di un dipendente universitario, sul quale erano stati salvati i dati personali degli studenti. L'università si è difesa sostenendo la propria estraneità all'accaduto e cioè al trattamento dei dati memorizzati sul dispositivo rubato. Secondo l'università, invece, è stato il dipendente ad agire senza in violazione delle procedure interne.
L'università, a questo proposito, ha evidenziato una conservazione di dati eccedente il termine previsto dall'ateneo: il dipendente, all'insaputa dell'università, ha elaborato i dati degli studenti relativi a un quinquennio, mentre, nel suo regolamento interno, l'università ha specificato che i dati degli studenti dovevano essere trattati per un periodo massimo di tre mesi.
La vicenda è approdata sul tavolo della magistratura, ma il tribunale ha confermato il provvedimento del Garante e ha ritenuto l'università responsabile di violazione del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
Il giudice ha, pertanto, smentito la tesi dell'ateneo a riguardo della sua non configurabilità come titolare del trattamento nella causa. L'ateneo, secondo la sentenza, ha, invece, determinato le finalità e i mezzi del trattamento dei dati personali. Inoltre, il suo dipendente ha operato per conto del suo datore di lavoro. A questo riguardo, nella pronuncia, si legge che un dipendente, il cui computer portatile contenente i dati sia rubato, non può essere considerato un autonomo e indipendente decisore degli scopi e delle modalità del loro trattamento.
In sostanza il dipendente ha svolto le attività di trattamento proprio nella sua qualifica di dipendente dell'università, incaricato di svolgere mansioni in relazione a procedimenti relativi alle attività istituzionali (pratiche amministrative concernenti gli studenti).
Nel dettaglio l'università ha violato plurime disposizioni del Gdpr, tra cui l'articolo 5 che prescrive il rispetto dei principi di integrità e riservatezza e, quindi, la sanzione è risultata pienamente giustificata.
Condotte imputabili al datore. Prendendo spunto dalla sentenza, ora, soffermiamoci sugli aspetti generalizzabili a qualunque ipotesi di smartworking. Come è stato appurato nella vicenda polacca, il dipendente, anche se opera con strumenti di sua proprietà, non agisce come un soggetto separato e svincolato dal datore di lavoro: le sue azioni sono quindi di competenza del datore di lavoro, che ne è e ne rimane responsabile. Anche con riferimento alle mansioni svolte, utilizzando strumenti di proprietà del lavoratore, il datore di lavoro mantiene il potere di determinare le modalità esecutive, il potere di impartire ordini di servizio, così come mantiene intatto il potere di controllo e di irrogazione di sanzioni disciplinari. La valutazione di questa situazione non necessariamente è modificata dal fatto che l'azione del dipendente esorbiti le istruzioni fornite.
L'operato scorretto del dipendente non necessariamente impedisce di attribuire al datore di lavoro l'imputazione dell'attività svolta dal dipendente. A ciò si aggiunge che per avere un'interruzione significativa del nesso di riconducibilità al datore di lavoro dell'attività irregolare del dipendente, occorre una condotta intenzionalmente dolosa e sviata del dipendente.
Violazioni privacy. Quando capita un episodio come quello descritto, l'impresa commette violazioni della normativa sulla sicurezza privacy.
Il primo articolo violato è, come detto, l'articolo 5 del Gdpr, che pretende l'osservanza dei principi di integrità e riservatezza. In base a questi principi i dati personali devono essere trattati in modo da garantire la loro adeguata sicurezza, compresa la protezione contro il trattamento non autorizzato o illegale, contro perdite accidentali, distruzione o danni, e con adeguate misure tecniche o organizzative.
Oltre a piano sostanziale c'è, poi, un piano formale/documentale. Il datore di lavoro, quando autorizza lo svolgimento della prestazione lavorativa con strumenti di proprietà del dipendente, deve darne conto nel documento di analisi dei rischi, prescritto dall'articolo 32 Gdpr. È il datore di lavoro, nel proprio modello organizzativo privacy, che deve fare un'analisi dei rischi e valutare le minacce cui è esposto il computer personale del dipendente.
Successivamente a questa analisi, l'impresa deve progettare e adottare adeguate misure tecniche e organizzative per proteggere efficacemente i dati trattati. Occorre evitare quel che è accaduto al computer del dipendente dell'università polacca e cioè quella che si chiama la esfiltrazione di dati. Al contrario l'impresa, quale titolare del trattamento, deve sempre avere la situazione sotto controllo, monitorare il processo di trattamento dei dati effettuato dal dipendente e, infine, adoperarsi per verificare la correttezza delle attività svolte dal dipendente.
di Antonio Ciccia Messina - Fonte: Italia Oggi Sette del 30 agosto 2021