La responsabilità dei titolari in caso di violazione dei dati

Una recente sentenza dell’alta corte britannica ha allargato in maniera significativa il livello di responsabilità e coinvolgimento dei titolari, quando un autorizzato al trattamento dolosamente causa una violazione di dati. Ritengo importante che i lettori abbiano una chiara visione di questa sentenza, perché, in base al principio di coerenza e congruità, è possibile che gli aspetti qui delineati possono avere un’eco anche a livello dell’intera Europa.

In sintesi, l’alta corte ha ritenuto che un titolare del trattamento può essere corresponsabile in una violazione di dati, causata dal comportamento di un impiegato, anche se questo comportamento aveva aspetti dolosi.

Se o meno un titolare del trattamento può essere corresponsabile, in caso di violazione, dipende da due fattori:

• la natura dell’attività svolta dall’autorizzato al trattamento e
• se esiste un legame dimostrabile tra la posizione occupata dall’autorizzato al trattamento e il suo comportamento criminale.

Vediamo i fatti.

L’impiegato coinvolto era un internal auditor dipendente da una grande catena di supermercati, con sede nel Regno Unito. Egli aveva subito un procedimento disciplinare, che lo aveva indotto a creare un danno al suo datore di lavoro.

Pubblicità

Software e applicazioni - Blumatica GDPR: Account Base - Canone 12 mesi Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.

In particolare, egli diffuse le informazioni afferenti allo stipendio di circa 100.000 impiegati, compreso il nome, gli indirizzi, i numeri di sicurezza sociale, i conti correnti bancari e simili.

Il dipendente venne di conseguenza arrestato e condannato per questo comportamento criminoso.

Circa 5000 dipendenti, i cui dati erano stati così violati, avviarono una causa nei confronti del datore di lavoro, perché, a loro avviso, il titolare non aveva protetto in maniera sufficiente i loro dati e quindi era responsabile del comportamento del dipendente allontanato.

La corte ritenne che il titolare non aveva soddisfatto appieno ai suoi obblighi di protezione dei dati personali, ad esempio l’obbligo di adottare appropriate misure tecniche e organizzative per la protezione dei dati da possibili usi non autorizzati, in quanto non aveva provveduto a cancellare i dati che erano presenti sul computer del dipendente allontanato.

I difensori del titolare eccepirono in giudizio che le modalità con cui era stata effettuata la violazione di dati non erano tali da coinvolgere direttamente la responsabilità del titolare. In pratica, l’impiegato allontanato aveva condotto la violazione da casa propria, utilizzando il suo proprio computer in un giorno non lavorativo, dopo che egli aveva caricato i dati su una chiavetta USB.

Un altro aspetto che la corte prese in considerazione riguardava il fatto che il motivo per cui era stata compiuta la violazione, da parte del dipendente, era quello di creare un danno al suo datore di lavoro e non di acquisire un profitto personale o per un soggetto terzo.

In conclusione, la corte ha affermato che un datore di lavoro può essere corresponsabile per le azioni di un dipendente, anche se egli non ha una responsabilità primaria ed ha preso delle precauzioni per prevenire un utilizzo improprio dei dati da parte del dipendente.

È evidente che una tale sentenza rappresenta un tema di grande interesse e preoccupazione per tutti i datori di lavoro, vale a dire i titolari. Anche se la perdita che coinvolgeva ogni interessato, in questo caso, era minima, il gran numero di dipendenti coinvolti può portare a coinvolgere un gran numero di dati personali.

Al proposito, è bene ricordare che il nuovo regolamento generale europeo prevede che il responsabile di una mancanza debba compensare l’interessato anche per danni immateriali, come ad esempio una condizione d’ansia, legata alla violazione.

Particolarmente interessante è anche il fatto che la corte ha suggerito che i datori di lavoro si procurino una polizza assicurativa, a copertura di queste situazioni.

Il titolare comunque ha deciso di appellarsi alla corte suprema del Regno Unito. Se la decisione fin qui presa verrà confermata, la causa si sposterà sulla determinazione dell’importo da corrispondere agli interessati coinvolti, che possano dimostrare danni materiali ed anche danni immateriali.

Ancora una volta, un atteggiamento oltremodo prudenziale da parte dei datori di lavoro rappresenta un aspetto fondamentale in una politica efficiente ed efficace di protezione dei dati.

Ad esempio, il fatto che venga consentito al dipendente di operare dal proprio domicilio su dati aziendali può rappresentare un potenziale rischio, che deve essere tempestivamente messo sotto controllo.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.