La colpa per le violazioni privacy ricade sull’organizzazione (impresa, ente privato o pubblico) che è chiamata a pagare le sanzioni anche se non è identificata la singola persona (es. il dipendente), che ha materialmente commesso la violazione.
Applica questo principio la Corte dei giustizia dell’Unione europea, nella sentenza del 5 dicembre 2023, resa nella causa n. C-807/21, la quale responsabilizza in maniera diretta le organizzazioni nella loro qualità di titolari/responsabili del trattamento. Persone giuridiche, associazioni ed enti in genere possono essere, infatti, destinatari delle norme sanzionatore in via diretta e non in via di solidarietà.
Il GDPR prevede che una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività o per suo conto. Tutto ciò porta con sé, però, un pericolo e cioè la contestazione di responsabilità oggettive, ovvero responsabilità senza colpa.
La vicenda
La sentenza della Cgue si riferisce a una vicenda avvenuta in Germania, che ha coinvolto una holding immobiliare, detentrice di partecipazioni in società proprietarie e locatrici di migliaia di appartamenti e negozi.
Tutte le società trattavano i dati dei locatari. A causa di illegittimità nel trattamento dei dati di questi ultimi (ad esempio conservazione eccessiva dei dati), il garante della privacy tedesco ha applicato sanzioni alla società holding, la quale ha avviato un contenzioso davanti ad un tribunale tedesco per l’annullamento delle stesse sulla base del fatto che un illecito amministrativo può essere contestato a una persona giuridica solo se è stata identificata la persona fisica che ha commesso l’illecito.
La vicenda è stata portata all’attenzione della Cgue, alla quale si è chiesto se l’interpretazione della holding sia conforme al Gdpr. Alla Corte è stato anche chiesto, precisamente, di specificare se per la punibilità dell’impresa il Garante deve dimostrare che l’infrazione sia stata commessa dall’impresa stessa, per mezzo di un proprio dipendente, in modo doloso o colposo oppure se sia sufficiente che le possa essere imputata un’oggettiva violazione di obblighi.
Al primo quesito la Cgue ha risposto che una sanzione pecuniaria privacy può essere inflitta a una persona giuridica, nella sua qualità di titolare del trattamento, anche se la violazione non sia stata previamente imputata a una persona fisica identificata.
Con riferimento al secondo quesito, la sentenza afferma che una sanzione amministrativa pecuniaria può essere inflitta a una persona giuridica solo se la violazione è stata commessa con dolo o colpa: è esclusa, quindi, la responsabilità oggettiva. Però aggiunge che, per punire una persona giuridica, non è necessario provare che gli amministratori abbiano commesso l’illecito o che ne siano consapevoli.
Pronunce della Corte di Cassazione Italiana sul tema
In Italia, la Corte di cassazione si è pronunciata negli stessi termini, ponendo le sanzioni privacy direttamente a carico delle imprese e degli enti pubblici, con una precisazione.
La responsabilità dell’ente, secondo la Cassazione, non può mai essere di natura oggettiva e quindi essere la conseguenza automatica di un fatto commesso da un dipendente. Secondo la Cassazione questa responsabilità degli enti va configurata come “colpa di organizzazione”.
Ciò vuol dire che la sanzione è la conseguenza di una inottemperanza riconducibile all’ente e cioè dell’inosservanza dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti. Sarà dunque necessario dimostrare che l’illecito rientra in una politica di impresa o in una scelta gestoria aziendale o dell’ente pubblico.
L’importanza di un sistema di gestione privacy efficace
Sul punto anche la Cgue, almeno con le astratte formulazioni, sottolinea che ci deve essere dolo o colpa. Per dimostrare l’assenza di dolo e colpa, dunque, imprese e p.a. possono, ad esempio, rimarcare che l’autore materiale della condotta ha commesso l’illecito per scopi esclusivamente personali e non riferibili all’attività dell’ente o, ancora, che erano state fornite idonee istruzioni che il dipendente non ha seguito per sua esclusiva negligenza.
L’ente deve infatti dotarsi di un apparato documentale e tecnico idoneo a prevenire il rimprovero di non essersi organizzata bene.
In dettaglio, questo apparato documentale serve a un’impresa o una pubblica amministrazione a dimostrare che un suo dipendente ha agito in proprio, non nell’ambito di scelte o indirizzi gestionali, ma quale privato che ha interrotto il rapporto organico dipendente-ente.
Questi documenti dell’azienda o dell’ente pubblico devono – tra gli altri – contenere, senza alcun dubbio, le nomine dei dipendenti quali autorizzati al trattamento scritte in maniera estremamente dettagliata e inequivoca a proposito di: finalità perseguite dall’ente; finalità vietate all’ente e ai dipendenti; strumenti e modalità di utilizzo; conseguenze in caso di violazione delle finalità.
Ancora, per evitare accessi abusivi agli archivi – siano essi elettronici o cartacei – imprese e pubbliche amministrazione devono usare credenziali idonee per l’accesso a reti, data base e dispositivi, stabilire i poteri di accesso, devono elaborare indici di anomalia negli accesi e modalità tecniche di segnalazione delle anomalie stesse e nella predisposizione di procedure di controllo degli accessi.
A corredo di tutto ciò, occorrono (anche ai sensi dell’articolo 4 dello Statuto dei lavoratori), informative ai dipendenti che contengano la specifica descrizione della possibilità dei controlli e dell’uso dei relativi dati da parte dell’ente.
In ogni caso, la dimostrazione della condotta autonoma ed esclusiva del dipendente, se non risulta utile ad esonerare l’ente dalle responsabilità, servirà allo stesso per una rivalsa interna nei confronti del trasgressore.
La pronuncia del Garante privacy del Belgio sulla responsabilizzazione del dipendente
Un precedente nell’applicazione della regola della responsabilizzazione del dipendente è la pronuncia del Garante della privacy del Belgio n. 16 del 27 febbraio 2023 (caso n. 2021-06717), che ha prosciolto un ente dalle incolpazioni mosse a suo carico, ritenendo di separare la posizione dell’ente da quella di una sua dipendente, che è stata ammonita formalmente per avere consultato dati di terzi nei data base aziendali al di fuori di esigenze di servizio.
