Ha violato la Privacy ed è stato sanzionato per aver fatto trattare i dati da un dipendente non in regola.
E' quanto accaduto nei giorni scorsi, quando, con l'ingiunzione n.243 del 24/04/24 il Garante Privacy ha irrogato una sanzione al datore di lavoro che stava comunicando dati a una persona da considerare un terzo estraneo, non autorizzato a conoscerli.
L'accertamento
Secondo l'accertamento il dipendente prestava la propria attività e gestiva pratiche aziendali trattando dati anche sensibili degli utenti, disponendo delle password per accedere alle piattaforme online. L’Ispettorato ha perciò segnalato la vicenda al Garante della Privacy, che ha aperto un procedimento.
La difesa
Il datore di lavoro si è difeso sostenendo che la comunicazione di cessazione del rapporto di lavoro del dipendente è stata frutto di un errore e che non era stato intimato nessun licenziamento. Inoltre ha anche evidenziato che la persona in questione non era un estraneo, anzi ha sempre continuato a fare parte dell’organizzazione e che allo stesso era stata data anche l’autorizzazione al trattamento dei dati, mai revocata. Il Garante però non ha accolto questa ricostruzione dei fatti.
Cosa dice il Garante
Nell’ingiunzione, in commento, si è dato rilievo alla comunicazione della cessazione del rapporto di lavoro, da cui il Garante ha dedotto che l’impiegato, da quel momento in poi, ha continuato la sua attività in maniera irregolare. E in questa situazione all’irregolarità del rapporto di lavoro corrisponde la violazione della Privacy.
"Chi è irregolare" dice il Garante "non fa parte della struttura organizzativa del Titolare del trattamento e non ha titolo per trattare i dati personali in qualità di Autorizzato al trattamento, anzi, il lavoratore irregolare è un terzo, al quale i dati sono comunicati indebitamente".
Impatto pratico
La pronuncia ha notevoli impatti pratici, perché significa che chi fa lavorare senza contratto si espone non solo alle sanzioni previste dalla normativa sul lavoro, ma anche alle sanzioni Privacy per comunicazione illecite di dati (ai lavoratori irregolari).
In proposito, va però considerato che il GDPR non afferma esplicitamente che l’autorizzazione al trattamento è subordinata alla validità ed efficacia del rapporto di lavoro con l’autorizzato e che anche i dipendenti irregolari sono soggetti all’autorità del datore di lavoro (anzi forse la loro situazione di soggezione è anche più pesante).
Sulla base dei principi espressi nell’ingiunzione, il lavoratore irregolare, che tratta dati, sarebbe un distinto titolare del trattamento: violerebbe in prima persona il GDPR e andrebbe separatamente sanzionato.
(Fonte: Italia Oggi)
Per qualsiasi chiarimento, ulteriori informazioni o per richiedere una consulenza Privacy specifica per la tua attività, contattaci, saremo lieti di fornirti tutte le risposte che cerchi!
Enterprise Solutions
Tel. 0584 17 16 857 (4 linee r.a.)
Seguici anche su Facebook
Comments