La protezione dei dati personali è una responsabilità primaria del datore di lavoro, in qualità di titolare del trattamento. Tuttavia, esistono circostanze specifiche in cui un dipendente può essere chiamato a rispondere personalmente per una violazione della normativa, come il GDPR. Questo accade quando il lavoratore agisce al di fuori delle istruzioni ricevute e delle proprie mansioni, causando un trattamento illecito dei dati.
Il ruolo del dipendente nel trattamento dei dati
Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), qualsiasi soggetto che tratti dati personali sotto l’autorità del titolare del trattamento, come un dipendente, deve essere adeguatamente formato e istruito. Il datore di lavoro ha l’obbligo di fornire direttive chiare e di implementare misure di sicurezza tecniche e organizzative per garantire la conformità alla normativa.
Il lavoratore, a sua volta, è tenuto a rispettare scrupolosamente tali istruzioni, utilizzando i dati a cui ha accesso esclusivamente per le finalità connesse alla propria attività lavorativa. La violazione di queste direttive non è una semplice infrazione disciplinare, ma può configurare un illecito con conseguenze dirette per il dipendente stesso.
Quando scatta la responsabilità personale del lavoratore
La responsabilità personale del dipendente emerge quando questi agisce in modo autonomo e contrario alle disposizioni del titolare. In pratica, il lavoratore cessa di essere un mero esecutore delle istruzioni aziendali e diventa, di fatto, un “titolare autonomo” di un trattamento illecito. Questo può verificarsi in diverse situazioni, ad esempio quando un dipendente:
- Accede a dati personali a cui non è autorizzato per semplice curiosità o per scopi personali.
- Utilizza i dati dei clienti o dei pazienti, a cui ha legittimo accesso per lavoro, per finalità diverse da quelle previste (ad esempio, per contattarli privatamente o per divulgarli a terzi).
- Copia o sottrae elenchi di dati per utilizzarli in un’altra attività o per venderli.
- Diffonde informazioni riservate di cui è venuto a conoscenza durante il suo impiego.
In questi casi, il dipendente non sta più agendo per conto del datore di lavoro, ma per un’iniziativa personale che viola i principi fondamentali della normativa sulla privacy, come la limitazione della finalità e la riservatezza.
Un caso concreto: la diffusione di dati sanitari
Una vicenda esaminata dal Garante per la protezione dei dati personali illustra chiaramente questo principio. Un medico, dipendente di un’Azienda Sanitaria Locale (ASL), ha utilizzato i dati sanitari di un suo paziente per un caso di studio presentato durante un congresso. Nello specifico, ha proiettato diapositive contenenti le iniziali, l’età, il sesso e dettagli clinici del paziente, rendendolo di fatto identificabile.
Il medico ha agito senza aver mai chiesto il consenso al paziente e senza informare né ricevere autorizzazione dall’ASL. Sebbene fosse autorizzato a trattare quei dati per finalità di cura, li ha utilizzati per uno scopo completamente diverso, violando le istruzioni ricevute e i diritti dell’interessato. L’iniziativa era esclusivamente sua, al di fuori del rapporto di lavoro.
Le conseguenze della violazione: una doppia responsabilità
A seguito dell’indagine, il Garante ha riconosciuto un trattamento illecito di dati personali, individuando una responsabilità sia in capo al medico che all’ASL. Al medico è stata contestata la violazione dei principi di base del GDPR, avendo trattato dati sensibili senza una base giuridica valida. All’ASL, invece, è stata imputata la violazione del principio di integrità e riservatezza, per non aver adottato misure di sicurezza sufficienti a prevenire l’uso improprio delle informazioni da parte del proprio personale.
Questo caso dimostra che, sebbene il titolare del trattamento (l’azienda) mantenga una responsabilità oggettiva per la sicurezza dei dati, il dipendente che agisce deliberatamente al di fuori delle regole risponde in prima persona del proprio operato illecito.
Diritti dei consumatori e doveri dei lavoratori
Questa dinamica ha importanti implicazioni sia per i cittadini che per i lavoratori. I consumatori e i pazienti devono essere consapevoli che i loro dati, specialmente quelli sanitari, sono protetti da regole severe. Se sospettano un utilizzo improprio, hanno il diritto di chiedere spiegazioni e di segnalare l’accaduto alle autorità competenti.
I lavoratori, d’altro canto, devono comprendere la serietà degli obblighi legati alla privacy. È fondamentale:
- Seguire sempre le policy e le procedure aziendali sul trattamento dei dati.
- Non accedere mai a informazioni che non siano strettamente necessarie per le proprie mansioni.
- Utilizzare gli strumenti informatici e i database aziendali solo per scopi lavorativi.
- In caso di dubbi, chiedere chiarimenti ai propri superiori o al Responsabile della Protezione dei Dati (DPO) aziendale.
Ignorare queste regole non solo espone l’azienda a sanzioni, ma può comportare gravi conseguenze personali, incluse sanzioni economiche e azioni legali.
La formazione continua e la vigilanza da parte del datore di lavoro sono essenziali, ma la responsabilità individuale resta un pilastro fondamentale per garantire una reale protezione dei dati personali.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
