Responsabilità privacy: quando il dipendente risponde personalmente delle violazioni al GDPR

In linea di principio, si presume che ogni trattamento di dati personali eseguito dai lavoratori dipendenti, nell’ambito delle attività di un’impresa o di una P.A., abbia luogo sotto il controllo di quest’ultima.

In circostanze eccezionali, tuttavia, può avvenire che un dipendente decida di utilizzare i dati personali per finalità proprie, andando così illegittimamente oltre l’autorizzazione conferitagli.

In tali casi lo stesso dipendente può essere considerato titolare del trattamento ed essere chiamato a rispondere di tutte le conseguenze, assumendosi tutte le responsabilità che ne derivano in termini di trattamento dei dati personali.

Indice:

  1. Il ruolo privacy dei lavoratori dipendenti. Il perimetro di autorizzazione
  2. Il caso concreto
  3. Il Monito per datori di lavoro e lavoratori dipendenti

1. Il ruolo privacy dei lavoratori dipendenti. Il perimetro di autorizzazione

Generalmente, i lavoratori dipendenti che hanno accesso ai dati personali all’interno di un’organizzazione, pubblica o privata, non sono considerati “Titolari del trattamento” o “Responsabili del trattamento”, bensì “Autorizzati, i.e. persone che “agiscono sotto l’autorità del Titolare del trattamento o del Responsabile del trattamento”[1].

In linea di principio, quindi, si può presumere che i lavoratori dipendenti (o una persona che occupi una posizione molto simile a quella di dipendente, e.g. il personale inviato da un’agenzia di lavoro interinale), aventi il ruolo privacy di autorizzati, eseguono i trattamenti di dati personali necessari a realizzare gli obiettivi di business o le finalità istituzionali, sotto l’autorità ed il controllo dell’impresa o della P.A. da cui dipendono e che riveste il ruolo privacy di Titolare o Responsabile del trattamento.

In circostanze eccezionali, tuttavia, può avvenire che un dipendente decida di utilizzare i dati personali per finalità proprie, andando così illegittimamente oltre l’autorizzazione conferitagli.

In tali casi, spetta all’impresa o alla P.A., in quanto titolare del trattamento, assicurarsi che siano poste in essere misure tecniche e organizzative adeguate, ivi comprese, ad esempio, la formazione e l’informazione dei dipendenti, funzionali a disegnare precisamente il perimetro di autorizzazione e garantire così la conformità al GDPR.

Attenzione: i Garanti Europei hanno chiarito[2] che, non rientra nella categoria degli autorizzati al trattamento, il lavoratore dipendente che acceda a dati personali ai quali non è autorizzato ad accedere e per finalità diverse da quelle del datore di lavoro. Pertanto, nella misura in cui il dipendente tratti dati personali per le proprie finalità, diverse da quelle del datore di lavoro, sarà considerato titolare del trattamento, risponderà di tutte le conseguenze e si assumerà tutte le responsabilità che ne derivano in termini di trattamento dei dati personali.

2. Il caso concreto

Quanto ipotizzato dai Garanti Europei è stato, in concreto, recentemente accertato e fatto oggetto di un ordinanza ingiunzione dal Garante Privacy italiano[3].

Il caso riguarda un medico in servizio presso un’Azienda Sanitaria che aveva diffuso dei dati sulla salute di un paziente, proiettando, in un congresso medico che prevedeva l’attribuzione di un premio, alcune diapositive, relative ad un caso clinico da lui affrontato che era stato poi effettivamente premiato, allo stesso congresso, come “migliore caso clinico”.

In particolare, nelle predette diapositive erano riportate: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia da lui sofferta, i dettagli sui ricoveri effettuati nell’arco di 16 anni e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento (in molti casi era riportato il giorno, il mese e l’anno degli stessi), l’unità di chirurgia che aveva effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche, nonché decine di fotografie che ritraevano l’interessato durante gli interventi chirurgici.

Si tratta quindi di una grande quantità di informazioni “sensibili” che hanno reso identificabile il paziente interessato, il quale, peraltro, non aveva prestato il proprio consenso informato e specifico.

Dall’attività di indagine dell’Autorità Garante è emerso che il medico:

  1. non aveva richiesto alcuna autorizzazione alla Azienda Sanitaria ove prestava servizio, né era stato da questa autorizzata, a trattare i citati dati e documenti clinici (di cui la stessa Azienda Sanitaria è titolare);
  2. aveva acquisito direttamente copia di tali dati e documenti mediante l’accesso agli strumenti informativi in uso presso la stessa Azienda Sanitaria, in qualità di medico nonché di persona autorizzata al trattamento dei dati;
  3. aveva poi trattato dati personali e documenti clinici relativi al predetto paziente, al di fuori delle finalità di cura per le quali la predetta Azienda lo aveva autorizzato ad accedere agli strumenti informativi aziendali;
  4. successivamente, aveva inserito i più volte citati dati e documenti nelle diapositive oggetto della presentazione per la partecipazione al predetto premio, senza procedere a una efficace anonimizzazione degli stessi;
  5. infine, aveva anche compilato il modulo di iscrizione al predetto premio, dichiarando la paternità del lavoro presentato ai fini della partecipazione al concorso.

Quindi il Garante, sulla base delle risultanze investigative, ha considerato il medico titolare del trattamento, irrogando nei suoi confronti una sanzione amministrativa pecuniaria e ritenendo che la messa a disposizione dei predetti dati personali e delle immagini diagnostiche e fotografiche, non anonimizzate, in occasione del predetto premio, senza il consenso informato del paziente/interessato e senza l’autorizzazione del titolare del trattamento degli stessi dati (i.e. l’Azienda Sanitaria presso la quale la medico presta servizio) abbia determinato, a carico dello stesso medico una violazione dei principi di base del trattamento stabiliti dagli artt. 5, 6 e 9 del GDPR.

Nello stesso contesto, l’Azienda Sanitaria, quale titolare del trattamento originario, è stata riconosciuta dal Garante, comunque responsabile della violazione del principio di integrità e riservatezza[4] fissato dall’art. 5, paragrafo 1, lettera f, poiché aveva reso possibile l’utilizzo da parte del medico, delle informazioni acquisite nel corso del ricovero del paziente/interessato presso la predetta Azienda sanitaria, per finalità diverse da quelle di cura, come, e.g., quelle di partecipazione a premi scientifici e convegni senza la previa autorizzazione dell’Azienda nè anonimizzazione dei predetti dati e documenti.

l’Autorità Garante ha comunque qualificato la citata inadempienza come “violazione minore”, ai sensi del Considerando 148 GDPR, irrogando all’Azienda Sanitaria un semplice ammonimento.

3. Il Monito per i datori di lavoro e per i lavoratori dipendenti

Dai citati provvedimenti del Garante emerge un monito sia per i datori di lavoro che per i lavoratori dipendenti.

I datori di lavoro in qualità di titolari del trattamento originari, devono gestire la responsabilità generale dei trattamenti, loro attribuita dal GDPR, ponendo in essere misure tecniche e organizzative adeguate tra le quali in particolare:

  • l’istruzione dei dipendenti, per delimitare con precisione il perimetro di autorizzazione ai trattamenti;
  • le misure di sicurezza ai sensi dell’art. 32 GDPR, per evitare indebite acquisizioni di dati personali da parte dei dipendenti e conseguenti trattamenti per finalità non pertinenti al raggiungimento degli obiettivi di business e comunque diverse da quelle istituzionali.

I lavoratori dipendenti, dal canto loro, nella loro veste di autorizzati al trattamento, non devono oltrepassare il detto perimetro di autorizzazione, facendo accesso a dati personali ai quali non sono autorizzati ad accedere e per realizzare scopi diversi da quelli indicati nel contratto di lavoro.

Il lavoratore dipendente, quindi, deve sempre avere ben presente che qualora tratti dati personali, per sue proprie finalità, diverse da quelle del datore di lavoro, potrà essere considerato titolare del trattamento, ed essere chiamato a rispondere di tutte le conseguenze, assumendosi tutte le responsabilità che ne derivano in termini di trattamento dei dati personali.

Si tratta di una ripartizione di ruoli ben chiara e precisa, che comporta anche un forte senso di responsabilità da parte di tutte le entità coinvolte nelle attività di trattamento dei dati personali, atteso che, è bene ricordarlo, il prezioso oggetto di tutela è costituito dai diritti e libertà fondamentali delle persone fisiche.

 


Note:

[1] Vds. Art. 29 GDPR.

[2] Vds. Punti 19 e 88 delle Linee Guida EDPB 7/2020 versione 2.0 adottate il 7 luglio 2021.

[3] Provvedimento GPDP n. 144 del 15 aprile 2021, [doc. web n. 9587637].

[4] Provvedimento GPDP n. 142 del 15 aprile 2021, [doc. web n. 9587071].

Giuseppe Alverone

Scrivi un commento

Accedi per poter inserire un commento