Circostanze in cui il dipendente risponde personalmente delle violazioni al GDPR. Il provvedimento del Garante Privacy

Obblighi del GDPR

[Torna su]

Qualsiasi dipendente, collaboratore, praticante, segretaria, ecc., insomma, qualunque soggetto dell'organizzazione che tratti dati personali, deve essere formato e aggiornato ai sensi dell'articolo 32 GDPR. Della formazione e dell'aggiornamento sono responsabili il titolare del trattamento e il responsabile del trattamento i quali "fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso". Cosa accadrebbe se un dipendente dovesse violare le disposizioni impartitegli, finalizzate a garantire la sicurezza dei dati da lui trattati e riferibili a degli interessati? È facilmente intuibile che qualora acquisisse dati personali a lui normalmente preclusi, oppure utilizzasse i dati personali in suo possesso per finalità differenti da quelle strettamente connesse alle sue mansioni lavorative, egli commetterebbe un grave illecito del quale risponderebbe personalmente.

Il punto, però, è che vi sono una serie di obblighi anche in capo al titolare del trattamento (normalmente il datore di lavoro), il quale potrebbe rispondere anche egli di possibili violazioni alla norma.

Si tiene a precisare che quanto precede e segue è valido per qualsiasi attività lavorativa: pubblica e privata; piccola, media o grande; industria, impresa, servizi; ecc.

Dati personali trattati oltre le finalità di cura: la vicenda

[Torna su]

Il Garante ha purtroppo dovuto affrontare una simile fattispecie a seguito del ricorso di un interessato, il quale ha intrapreso un'azione legale contro una Azienda Sanitaria Locale per la diffusione dei propri dati personali sanitari. È corretto precisare che la ASL, non appena appreso della diffusione dei dati, ha cercato di porre rimedio e ha provveduto ad informare il Garante dell'accaduto.

La dott.ssa era in servizio presso la predetta struttura, ed aveva in cura il paziente reclamante. La professionista era stata ovviamente autorizzata dalla ASL al trattamento dei dati personali sanitari dei suoi pazienti. Il medico, nel corso di un congresso, ha proiettato alcune diapositive relative a un caso clinico trattato riportando i dati del paziente, ed in particolare: le iniziali, l'età, il sesso, l'anamnesi della patologia, alcuni dettagli sui ricoveri e sugli interventi chirurgici, ed altro ancora. Tutto ciò ha reso identificabile il paziente il quale, oltretutto, era all'oscuro che sarebbe divenuto il protagonista del congresso, in quanto nessuno gli aveva chiesto il consenso all'utilizzo dei suoi dati.

Il medico in questione ha quindi trattato i dati personali e i documenti in suo possesso ben oltre le finalità di cura per le quali la predetta Azienda lo aveva autorizzato ad accedere agli strumenti informativi aziendali. Inoltre, non solo non aveva chiesto il consenso all'interessato, ma non aveva chiesto alcuna autorizzazione alla ASL ne l'aveva informata delle sue intenzioni.

Il provvedimento del Garante Privacy

[Torna su]

Il Garante (provvedimento n. 9587071), sulla base delle risultanze investigative, ha accertato, sia in capo al medico sia all'ASL, un illecito trattamento dei dati personali. Ha contestato al primo la violazione dei principi di base stabiliti dagli artt. 5, 6 e 9 del GDPR, ed all'ASL la violazione del principio di integrità e riservatezza fissati dall'art. 5, paragrafo 1, lettera f, per aver reso possibile l'utilizzo delle informazioni acquisite nel corso del ricovero per finalità diverse da quelle di cura.

La sanzione nei confronti dell'ASL è stata poi diminuita in quanto il Responsabile della stessa si è reso parte diligente non appena ha appreso dell'incidente, ed in quanto l'Azienda ha immediatamente avviato delle nuove attività formative per implementare la preparazione del personale e migliorare le proprie misure di sicurezza anche attraverso una nuova policy maggiormente efficace.

Dalla vicenda in esame si evince ancora una volta quanto sia importante formare ed aggiornare il personale; monitorare e vigilare le loro attività; predisporre delle procedure interne e delle misure di sicurezza adeguate. Di contro, il personale non deve oltrepassare il perimetro delle autorizzazioni ricevute, evitando di accedere a qualsiasi informazione per scopi diversi da quelli strettamente connessi alle finalità delle loro mansioni.


Foto: 123rf.com
In evidenza oggi: