Affida dati sensibili al lavoratore formalmente licenziato: sanzionato dal Garante della Privacy
di Eugenio Erario Boccafurni*
* Le valutazioni espresse sono personali e non rappresentano il punto di vista dell’Ente di appartenenza
Con provvedimento-ingiunzione n. 243 del 24 aprile 2024, il Garante della Privacy, su segnalazione emessa da un Ispettorato Territoriale del Lavoro, ha sanzionato un patronato, il quale, nonostante la formale interruzione del rapporto di lavoro con un proprio dipendente, ha continuato ad affidare a quest’ultimo pratiche contenenti dati sensibili.
Il fatto contestato: «si osserva che, come accertato dall’Ispettorato Territoriale del Lavoro di Nuoro, il Patronato, sebbene avesse comunicato la cessazione del rapporto di lavoro in essere con il Sig. […], ha continuato ad impiegarlo, dal XX al XX, nello svolgimento di attività che comportavano anche il trattamento di dati personali, pure appartenenti a categorie particolari, contenuti, ad esempio, nei mandati di patrocinio e nelle pratiche dell’utenza, non avendo, peraltro, “subito alcun impedimento nel rinnovo delle password necessarie per l’accesso alle piattaforme degli Enti erogatori delle prestazioni (Inps, Inail, ecc.)”».
Ebbene, continua il Garante, «Il titolare del trattamento ha, infatti, consentito che dati personali, anche relativi a categorie particolari, venissero raccolti e trattati per proprio conto dal Sig. […], che, stante la cessazione del rapporto di lavoro, non faceva più parte della struttura organizzativa del titolare, non agiva più sotto l’autorità dello stesso e, pertanto, non aveva titolo per trattare i dati personali in qualità di autorizzato al trattamento ai sensi dell’art. 29 del Regolamento.».
Sicché, la questione più interessante attiene la qualificazione di “terzo”, rispetto al trattamento dei dati effettuato dal datore di lavoro, del lavoratore che agisce per conto de quest’ultimo senza che tra le parti sia in essere un rapporto di lavoro.
Secondo il Garante, il lavoratore irregolare non è un “titolare” del trattamento, né un “responsabile” del trattamento o un dipendente «non rientra in suddetta categoria un lavoratore dipendente o un’altra figura professionale che acceda a dati ai quali non è autorizzato ad accedere e per finalità diverse da quelle del datore di lavoro. Pertanto, “un tale dipendente dovrebbe invece essere considerato terzo rispetto al trattamento effettuato dal datore di lavoro”. Ciò in quanto, per “terzo” si intende pertanto un soggetto che, nella specifica situazione in esame, non è né un interessato né un titolare del trattamento, un responsabile del trattamento o un dipendente” (v. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” del 7 luglio 2021, parr. 78, 88 e 89). Tale orientamento è stato recentemente confermato anche dalla Corte di giustizia dell’Unione europea, affermando che “dall’articolo 4, punto 10, del [Regolamento] risulta che hanno la qualità di «terzi», in particolare, le persone diverse da quelle che, poste sotto l’autorità diretta del titolare del trattamento o del responsabile del trattamento, sono autorizzate a trattare i dati personali” e che “tale definizione comprende persone che non sono dipendenti del titolare del trattamento e non sono sotto il controllo di quest’ultimo».