Data protection

Applicazione dell’art. 2-quaterdecies, relativo all’attribuzione di funzioni e compiti a soggetti designati, del codice Privacy.

Premesso che:

  • il Considerando (29)[1] del GDPR prevede che il titolare del trattamento che effettua il trattamento di dati personali dovrebbe indicare le persone autorizzate all’interno della propria organizzazione;
  • l’art. 29 del GDPR[2], stabilisce che chiunque agisca sotto la responsabilità del responsabile o del titolare del trattamento, non può trattare tali dati se non è istruito in tale senso dal titolare;
  •  l’art. 2-quaterdecies[3] (Attribuzione di funzioni e compiti a soggetti designati) del Codice della Privacy, il quale stabilisce che il titolare può prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare individua le modalità più opportune per autorizzare il trattamento dei dati personali alle persone che operano sotto la propria autorità diretta (i.e., i dipendenti).

Come noto, la nomina quale persona autorizzata a trattare dati personali ha natura unilaterale essendo un atto che promana dalla parte datoriale, ma al contempo va ritenuto che ogni nomina per lo svolgimento di determinate mansioni/incarichi implica un’accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti), che in base ai principi generali dell’ordinamento deve rivestire la stessa forma dell’atto presupposto.

La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore produce una serie di conseguenze nella gestione del rapporto di lavoro che operano su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali e integrazione di condotta disciplinarmente rilevante.

A tale riguardo si cita l’art. 24 GDPR che impone al titolare del trattamento di adottare “tenuto conto…dei rischi” connessi al trattamento dei dati personali “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

Ciò significa che il titolare del trattamento, in ragione delle generali esigenze di garanzia e di tutela dei diritti e delle libertà degli utenti e dei dipendenti, deve organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento di avere adottato tali misure organizzative.

La giurisprudenza di primo grado

Il tribunale di Udine, sez. lavoro, con Ordinanza R.L. n. 504/2024, ha fornito utili spunti interpretativi, chiarendo che: se è vero che la nomina quale persona designata al trattamento dei dati personali ha natura unilaterale (da una parte c’è il titolare e dall’altra il dipendente) essendo un atto che promana dalla parte datoriale, è altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica un’accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti).

La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore porta ad una serie di conseguenze nella gestione del rapporto di lavoro che si dipanano su diversi  piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto; inadempimento dei doveri contrattuali,; integrazione di una condotta disciplinarmente rilevante.

Gli obblighi in capo al titolare del trattamento

Il titolare del trattamento deve essere in grado di provare di avere provveduto a quanto riportato negli articoli sopra citati.

E, quindi, che abbia proceduto e proceda in caso di nuove assunzioni ad effettuare la nomina dei soggetti autorizzati (ex incaricati del trattamento ai sensi della previdente normativa) e che dette nomine siano correttamente archiviate; così come che abbia provveduto ad aggiornare le nomine in caso di cambio mansione e/o di cambio di unità operativa, nei casi in cui ciò comporti il coinvolgimento in un diverso trattamento o nello stesso trattamento ma con un diverso profilo..

La mancata applicazione di tali adempimenti provocherebbe il rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR[4]) sia di natura amministrativa (cfr. artt. 83[5] e 84[6] GDPR).

[1] Considerando (29) Al fine di creare incentivi per l’applicazione della pseudonimizzazione nel trattamento dei dati personali, dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all’interno dello stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative necessarie ad assicurare, per il trattamento interessato, l’attuazione del presente regolamento, e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone autorizzate all’interno dello stesso titolare del trattamento.

[2] Articolo 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (C81)

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[3] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati)  

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilita’ e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.  2. Il titolare o il responsabile del trattamento individuano le modalita’ più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

[4] Articolo 82 Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in

modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento

corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.

6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.

[5] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)

1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f ) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

4. In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;

c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.

8. L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo.

9. Se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l’azione sanzionatoria sia avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.

[6] Articolo 84 Sanzioni (C149, C152)

1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

sicurezzainformatica
datiappsanitarie

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Certificati per l’assenza dal lavoro
Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute
4 Gennaio 2025
cyber security
Comunicazione in merito alla prevenzione dei rischi di cyber security e conseguente proposta di coordinamento delle relative funzioni aziendali coinvolte.
13 Marzo 2024
Le campagne malevole del 2024: pubblicato il report del CERT-AGID
13 Febbraio 2025

Start typing and press Enter to search