privacy

Lo scorso dicembre 2023 la Corte di giustizia europea (CGUE)  ha emanato una sentenza (causa n. C-807/21) riferita ad una vicenda che ha avuto luogo in Germania, la quale vede come protagonista una holding immobiliare.

Quest’ultima, detenendo diversi appartamenti e negozi, nonché partecipazioni in società, tratta dati dei locatari. Nel farlo, tuttavia, è emerso che tali dati siano stati trattati in maniera illegittima secondo quanto previsto dal GDPR, ad esempio con tempi di conservazione lunghi e non circoscritti. Indi per cui il Garante privacy tedesco ha avviato un contenzioso nei confronti della holding.

La società immobiliare ha tentato di difendersi, affermando che un illecito amministrativo può essere imputato ad una persona giuridica solo nel caso in cui sia stata identificata la persona che ha commesso l’illecito. Possiamo considerarla una visione corretta?

Il parere della CGUE

Dunque, è stato chiesto alla CGUE di:

  • esprimersi in merito alla veridicità di quanto invocato dalla holding;
  • precisare se il Garante debba dimostrare che, per la “punizione”, l’infrazione sia stata commessa dall’organizzazione in modo doloso o colposo da parte di un dipendente o se sia già sufficiente che le possa essere imputata un’oggettiva violazione.

La Cgue ha replicato:

  • non è corretto quanto impugnato dalla holding, ossia può essere inflitta una sanzione a persona giuridica (titolare del trattamento) pur non avendo identificato una persona fisica colpevole dell’accaduto;
  • la responsabilità oggettiva è esclusa e, dunque, la sanzione amministrativa pecuniaria può essere inflitta solo se la violazione è stata commessa in maniera dolosa o colposa.

E’ importante precisare anche quanto pronunciato dalla Corte di cassazione in Italia, la quale, allo stesso modo, pone le sanzioni privacy direttamente a capo delle organizzazioni. Ma questo perché?

La responsabilità privacy dell’ente

La responsabilità dell’ente si definisce “colpa di organizzazione”, in quanto la violazione e la sua conseguente sanzione è imputata ad un’inosservanza dell’ente nel prevenire gli illeciti mediante cautele.

Anche la CGUE volge l’attenzione sul punto specificando che le imprese devono avere interesse ad inserire cautele documentali che diano la possibilità di deviare la responsabilità per violazioni privacy commessi da propri collaboratori.

Tra le cautele documentali troviamo, ad esempio, le lettere di nomina ad incaricato, le quali autorizzano il dipendente al trattamento dei dati personali e la formazione privacy degli stessi. Le stesse però devono essere dettagliate e specifiche relativamente a finalità perseguite, strumenti e modalità di utilizzo, finalità vietate e conseguenze delle stesse.

Troviamo ancora la necessità di circoscrivere le modalità di accesso ai sistemi informatici, registrare i log access per controllare le attività, creare credenziali univoche per dipendente, fornire un Disciplinare per l’utilizzo degli strumenti informatici aziendali, etc.

Form download disciplinare

A cappello di quanto detto e fornito ai dipendenti, occorre informare i dipendenti circa i trattamenti svolti; come? Mediante la consegna di un’informativa ad hoc.

Dunque, care imprese, è fondamentale creare un corredo documentale che vada non solo a creare un sistema di gestione privacy, ma che dia anche la possibilità di difendersi in caso di illeciti causati dai singoli dipendenti.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!