Rispetto della privacy in azienda e sanzioni disciplinari

L’introduzione della nuova normativa europea sulla Privacy (Reg UE 679/2016) nonché le modifiche apportate dal D.lgs 101/2018 al vecchio Codice Privacy impongono una serie di adempimenti al titolare del trattamento;, ossia la “persona fisica o giuridica che  stabilisce le finalità e le modalità del trattamento dei dati personali.”

 

Gli adempimenti cui il titolare è chiamato sono diversi e riguardano non solo la predisposizione di documentazione ed evidenze ma soprattutto, lo sviluppo di procedure e modelli finalizzati alla corretta implementazione dei principi di accountability, privacy by design e privacy by default.

 

Il titolare potrà gestire autonomamente i trattamenti dei dati personali relativi alla propria attività, oppure, come nella stragrande maggioranza dei casi, condividere la gestione con altre persone fisiche o giuridiche che assumeranno, a seconda dei casi, il ruolo di titolati autonomi, contitolari, responsabili oppure incaricati del trattamento.

 

Quando il titolare vieni coadiuvato nella sua attività da personale dipendente, per il quale riveste anche il ruolo di datore di lavoro, ai fini del regolamento il personale subordinato assume il ruole di  incaricato del trattamento.

 

Nel Reg. UE 679/2016 in verità, coerentemente con la natura non formalistica della norma, non troviamo espressa definizione di incaricato; infatti contrariamente al vecchio Codice Privacy D.lgs. 196/2003 che all’art. 30 citava testualmente “Incaricati al trattamento” nel Regolamento Europeo troviamo riferimenti a questa figura in modo indiretto: infatti all’art. 29 che cita testualmente: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati Membri”.

 

La normativa nazionale inoltre ribadisci quanto stabilito dal Regolamento Europeo prevedendo all’art. 2 – quaterdecies  D.lgs. 101/2018 che: “Il titolare o responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

 

Il lavoratore subordinato pertanto assume il duplice ruolo di interessato, e quindi soggetto di tutela in riferimento ai propri dati personali trattati dal titolare/datore di lavoro per adempiere a tutte le obbligazioni previsti per l’esecuzione del contratto di lavoro, e delegato dal titolare del trattamento allorquando per eseguire le mansioni affidate debba trattare dati personali di altri interessati (clienti, fornitori, dipendenti) per conto del titolare.

 

Per potere legittimamente delegare alcune attività di trattamento ai propri dipendenti il titolare dovrà, obbligatoriamente autorizzarle, formarle ed istruirle in modo specifico così come previsto dagli art 29, “Trattamento sotto l’autorità del titolare” e art 32 “Misure di sicurezza” per non incorrere nelle sanzioni previste dall’art 83 del regolamento stesso.

 

Il contenuto delle formazioni può spaziare dalla generica descrizione delle norme applicabili (Regolamento europeo, normativa nazionale, provvedimenti specifici del Garante privacy), a direttive riguardanti il corretto utilizzo degli strumenti di lavoro (gestionali, posta elettronica, internet, etc) ad istruzioni specifiche riguardanti la singola funzione attribuita al lavoratore che vanno ad integrare il mansionario.

 

Il lavoratore, una volta legittimato a trattare dati personali, ed opportunamente istruito circa le modalità con cui svolgere detti trattamenti nel rispetto della normativa vigente, tutelando i diritti e le libertà degli interessati, sarà tenuto a assumere comportamenti conformi alle direttive impartite; il rispetto delle istruzioni finalizzate alla protezione dei dati infatti diverrà parte integrante della prestazione lavorativa.

 

Per questo motivo, comportamenti non conformi alle direttive impartite relative alla protezione dei dati possono determinare una violazione degli obblighi lavorativi con conseguente irrogazione di sanzioni disciplinari nei confronti del dipendente da parte del datore di lavoro; la gravità della sanzione sarà commisurata a quella dell’addebito tenendo conto dell’oggettività del fatto e dell’intensità dell’elemento intenzionale, potendo nei casi più gravi, arrivare al licenziamento disciplinare per giusta causa.

 

 

 

 

 

Lo Studio Legale Lombardo nel 2020 ha conseguito il Premio Le Fonti
come Boutique di Eccellenza dell’Anno Consulenza Diritto del Lavoro 2020

CASI TRATTATI CON SUCCESSO

LEGGI ANCHE

Mobbing: cos’è e come difendersi

Che cos’è il mobbing L’articolo 32 della Costituzione garantisce il diritto alla salute, dal quale consegue il dovere del datore di lavoro di astenersi dal

Smartworking e diritto alla disconnessione

La Legge n. n. 81/2017 ha istituto per la prima volta nel nostro ordinamento il “lavoro agile” (c.d. Smart Working) “quale modalità di esecuzione del

PUBBLICAZIONI

Articoli, Sentenze,
Rassegna Stampa e Video

INTERVENTI

Interventi pubblici dei
nostri professionisti e tanto altro.