Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Trattamento illecito effettuato dal dipendente con il proprio pc: sanzionata l’Università di Varsavia

È la persona giuridica, in qualità di Titolare del trattamento, a rimanere responsabile nei confronti dei soggetti interessati, per la condotta di un proprio dipendente.

È quanto si evince dalla sentenza del 13 maggio 2021, recentemente pubblicata, con cui il Tribunale amministrativo provinciale di Varsavia ha confermato un precedente provvedimento dell’Ufficio per la protezione dei dati personali polacco (UODO) nei confronti dell’Università di Varsavia di scienze della vita (SGSW), sanzionata con una multa di 50.000 PLN (circa 11.000 euro), ai sensi dell’articolo 83 del GDPR.

La vicenda ha origine dal furto del laptop privato di un dipendente universitario a fine 2019, dalle cui indagini è poi scaturita l’esposizione illecita di un numero considerevole di dati riferiti agli studenti dell’Ateneo, in particolare per finalità relative al reclutamento dei medesimi.

A nulla sono valse le argomentazioni difensive dell’Università, secondo cui il dipendente avrebbe agito per conto proprio, con mezzi propri, contravvenendo ai regolamenti interni, secondo i quali i dati relativi al reclutamento degli studenti devono essere trattati per un periodo massimo di tre mesi, mentre il dipendente li avrebbe conservati e gestiti per circa un quinquennio.

Tesi seccamente respinta dalle autorità polacche, secondo cui il dipendente, seppur con mezzi propri, ha comunque agito per conto dell’Università nell’ambito delle sue mansioni, non potendosi quindi considerare un soggetto autonomo, o che abbia agito evidentemente con dolo, nella determinazione delle finalità e modalità del trattamento.

Non risulta inoltre sufficiente la mera consegna formale dei regolamenti aziendali ai soggetti autorizzati per manlevare il Titolare del trattamento dalle proprie responsabilità; nella fattispecie, le autorità polacche hanno infatti appurato come l’Università non abbia messo in atto le misure di sicurezza tecnico-organizzative adeguate, ai sensi dell’articolo 32 del GDPR, in particolare attraverso una valutazione dei rischi, che tenesse conto delle attività dei dipendenti svolte in smart working con mezzi propri.

L’attribuzione della responsabilità nei confronti dell’Università, quale Titolare del trattamento, rispetto al singolo soggetto, conferma il principio di fondo dell’accountability (ex articoli 5 e 24 GDPR) volto a garantire la massima e più immediata tutela, anche risarcitoria, nei confronti dei soggetti interessati al trattamento; sarà poi il Titolare ad avere la facoltà di rivalersi nelle sedi opportune, qualora previsto (in ambito disciplinare o civilistico ad esempio), nei confronti dei singoli soggetti coinvolti nella violazione.