Violazione privacy, la colpa ricade sull’organizzazione: la pronuncia della Corte di Giustizia UE
La sentenza della Corte del 5 dicembre 2023 – Causa C-683/21 – si addentra in un’analisi approfondita e sfaccettata del Regolamento Generale sulla Protezione dei Dati (GDPR), con particolare attenzione alla definizione di “Titolare del trattamento” e alla contitolarità del trattamento dei dati.
La sentenza esamina un caso specifico riguardante il rapporto tra dipendente ed ente nel contesto della responsabilità per il trattamento dei dati personali.
Il caso si sviluppa attorno all’uso di dati personali da parte di un dipendente nell’esercizio delle sue funzioni professionali. Il punto cruciale della questione è determinare fino a che punto le azioni di questo dipendente possano essere considerate imputabili all’ente per cui lavora, in relazione alle normative del Regolamento Generale sulla Protezione dei Dati (GDPR).
Nel caso in questione, il dipendente aveva trattato dati personali in un modo che ha sollevato dubbi sulla conformità ai principi del GDPR. La Corte doveva valutare se le azioni del dipendente fossero state condotte nell’ambito delle sue responsabilità istituzionali e, quindi, se l’ente potesse essere considerato responsabile per eventuali violazioni del GDPR derivanti da tali azioni.
La decisione della Corte, in questo caso, ha importanti implicazioni per la comprensione della responsabilità delle organizzazioni nel trattamento dei dati personali. Il caso evidenzia la necessità per gli enti di monitorare attivamente e regolare le azioni dei propri dipendenti in relazione al trattamento dei dati, sottolineando l’importanza di politiche interne efficaci e di una formazione adeguata al personale riguardo ai requisiti del GDPR.
COMMENTO
a cura di Marilena Guglielmetti – Investigatore Criminologo
Questa pronuncia sottolinea molto bene il tema della responsabilità in capo all’ente dell’operato dei propri dipendenti e quindi la formazione rappresenta un investimento imprescindibile a tutela trasversalmente di tutti, organizzazione e dipendenti stessi. Il caso mette in luce la questione dell’accountability delle organizzazioni per le azioni dei dipendenti e la necessità di un approccio olistico alla gestione dei rischi legati alla protezione dei dati.
Di conseguenza, rileva ai fini della individuazione del soggetto responsabile, la valutazione attenta delle pratiche di trattamento dei dati, poiché anche azioni non formalizzate possono avere implicazioni significative in termini di responsabilità legale.
La Corte evidenzia che un dipendente, agendo nell’ambito delle sue funzioni, può essere considerato una parte integrante dell’ente, contribuendo così alla definizione delle finalità e dei mezzi del trattamento dei dati. Di conseguenza, l’ente può essere ritenuto responsabile delle azioni del dipendente in relazione al trattamento dei dati, in quanto parte del suo agire istituzionale.
