Dipendente licenziato accede a dati personali dei clienti: titolare viola la privacy

Viola la privacy il titolare del trattamento che permette a un dipendente licenziato di accedere ai dati personali dei clienti.

Per approfondimenti al riguardo consigliamo il volume Formulario commentato della privacy.

1. I fatti

Il Garante per la protezione dei dati personali riceveva una segnalazione dall’Ispettorato Territoriale del Lavoro di Nuoro (ITL) in cui detto ultimo ufficio comunicava che, dagli accertamenti effettuati nei confronti di un Patronato locale, era emerso che, nonostante detto Patronato avesse comunicato al Centro Servizi per l’Impiego la cessazione del rapporto di lavoro con un proprio dipendente (tramite l’invio dell’apposito modello UNILAV), detto lavoratore aveva continuato a prestare la propria attività lavorativa a favore del Patronato come in vigenza del contratto di lavoro. In ragione di ciò, il Patronato non aveva bloccato le credenziali del “lavoratore” per accedere alle piattaforme degli Enti erogatori delle prestazioni (quali INPS e INAIL) ed anzi aveva ottenuto anche il rinnovo delle predette password per accedere alle piattaforme. In tal modo, il predetto “lavoratore” licenziato aveva trattato, per un lungo periodo, i dati personali e particolari dell’utenza che si era rivolta al Patronato per ottenere i suoi servizi.
Secondo il Garante, i fatti descritti potevano configurare una violazione della normativa privacy a carico del Patronato (titolare del trattamento dei dati personali dei suoi utenti), in quanto aveva permesso a un soggetto terzo, non autorizzato, di accedere ai dati personali degli utenti, che erano trattati dal Patronato per lo svolgimento delle proprie attività e l’erogazione dei suoi servizi.
Il Patronato, invitato dal Garante a fornire le proprie difese in merito ai fatti addebitati, sosteneva che non vi fosse alcuna violazione della normativa privacy, in quanto era sbagliato il presupposto su cui si fondava la valutazione dell’Autorità: cioè il soggetto in questione che aveva avuto accesso ai dati non era qualificabile come terzo, in quanto all’epoca dei fatti egli era ancora un dipendente del Patronato.
Secondo il Patronato, infatti, la comunicazione UNILAV di licenziamento del suddetto soggetto era avvenuta per mero errore, dovuta a un fraintendimento tra l’ufficio direttivo e l’ufficio esecutivo. Mentre non vi era mai stato alcun licenziamento scritto del dipendente, bensì soltanto una discussione orale durante la quale era emersa la possibilità di adottare un licenziamento (che però non aveva portato ad alcun esito formale). In tal senso, infatti, il Patronato ricordava che la forma verbale del licenziamento non è idonea a produrre effetti e che l’unica forma idonea in tal senso è quella scritta.
A conferma che il suddetto soggetto non fosse stato licenziato, secondo il Patronato, emergeva anche dai fogli di presenza che quest’ultimo aveva regolarmente continuato ad inviare ed erano stati accettati dal Patronato.
Pertanto, secondo il Patronato, il predetto soggetto aveva continuato ad essere un dipendente ed aveva così trattato i dati sotto il controllo diretto del titolare.

2. Dipendente licenziato accede a dati personali dei clienti: valutazione del Garante

Il Patronato è un ente di diritto privato che svolge un servizio di pubblica utilità ed in quanto tale può quindi trattare i dati personali degli utenti per lo svolgimento delle proprie attività e l’erogazione dei propri servizi nel caso in cui il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un contratto di cui l’interessato è parte oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare.
In particolare, i servizi svolti dal patronato sono quelli di consulenza, assistenza e tutela dei propri utenti, per conto dei quali possono presentare domande e svolgere tutti gli atti necessari allo svolgimento dei predetti servizi.
Il Garante ha ricordato che i dati personali oggetto di trattamento da parte di un titolare possono essere trattati solo da persone fisiche che, in ragione del ruolo ricoperto e delle funzioni svolte, sono stati autorizzati e istruiti in ordine al trattamento dei dati. In particolare, è necessario che ogni dipendente del titolare sia stato proposto in qualità di “incaricato” a svolgere le operazioni di trattamento e sia stato debitamente istruito per quanto riguarda l’accesso e l’utilizzo dei dati personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa.
In ragione di ciò, il titolare del trattamento può adibire al trattamento dei dati personali soltanto le persone fisiche che, all’interno della propria organizzazione, operino sotto la sua autorità e siano istruite in tal senso.
Pertanto, un soggetto non dipendente del titolare del titolare oppure un dipendente che tratti dati personali ai quali non è autorizzato ad accedere o per finalità diverse da quelle del datore di lavoro, deve essere considerato come un soggetto terzo rispetto al trattamento effettuato dal datore di lavoro.
Nel caso di specie, l’ITL ha accertato che il soggetto, che aveva cessato la prestazione lavorativa a favore del Patronato come emergeva dal modello UNILAV comunicato al Centro Servizi per l’Impiego, aveva comunque continuato ad essere impiegato come “lavoratore” dal Patronato e aveva così continuato ad avere accesso e a trattare i dati personali, anche particolari, degli utenti del Patronato.
In tal modo, il titolare del trattamento ha consentito che i predetti dati personali venissero raccolti e trattati da una persona fisica che non faceva più parte della sua struttura organizzativa e quindi non agiva più sotto l’autorità del titolare del trattamento e non aveva alcun titolo per trattare i dati personali in qualità di autorizzato al trattamento.  
L’argomentazione difensiva del Patronato, secondo cui la comunicazione UNILAV di licenziamento era stata inviata per errore e il soggetto invece aveva continuato ad essere dipendente a tutti gli effetti, non è accoglibile, in quanto dal verbale di accertamento dell’ITL è emerso che il predetto soggetto aveva altresì impugnato in via stragiudiziale il licenziamento.

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che il soggetto in questione non poteva considerarsi quale autorizzato al trattamento dei dati personali dell’utenza del Patronato e pertanto la raccolta e in generale il trattamento dei predetti dati da parte di tale soggetto configura una comunicazione a terzi dei dati trattati dal titolare in assenza di un idoneo presupposto di liceità.
Conseguentemente, il Garante ha ritenuto di comminare al Patronato una sanzione pecuniaria amministrativa.
Per quanto concerne la quantificazione di detta sanzione, il Garante da un lato ha valutato che la violazione si è estesa per un arco temporale molto lungo e ha riguardato anche dati personali appartenenti a categorie particolari, nonché che la violazione è stata dolosa per la volontà del titolare di impiegare un soggetto non in regola con l’assunzione. Dall’altro lato, il Garante ha valutato che il soggetto che aveva trattato i dati avrebbe potuto già essere a conoscenza di una parte dei dati in questione, in quanto aveva già svolto per tanto tempo la medesima attività quale dipendente del Patronato; inoltre ha valutato il grado di cooperazione con l’autorità e l’assenza di precedenti violazioni. Conseguentemente, il Garante ha comminato la sanzione di €. 3.000 (tremila).