Sul rifiuto del dipendente di accettare la nomina al trattamento dei dati personali

Può il dipendente rifiutarsi di sottoscrivere per accettazione la nomina a incaricato al trattamento dei dati personali sottopostagli dal datore di lavoro?

Il Regolamento (UE) 2016/679 (GDPR) ha introdotto la figura del Responsabile del Trattamento dei dati personali.

L’art. 28 GDPR prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

All’art. 29 è poi previsto che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’interessante ordinanza 504/2024 del Tribunale di Udine, Sezione Lavoro, afferma che “Le prestazioni rese dalla ricorrente (così come da chiunque operi in un ufficio postale) implicano necessariamente il trattamento in senso tecnico di dati personali altrui”.

Conseguentemente “Se dunque è vero che la nomina quale persona designata al trattamento dei dati personali ha natura unilaterale essendo un atto che promana dalla parte datoriale, è tuttavia altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica una accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti), che in base ai principi generali dell’ordinamento deve rivestire la stessa forma dell’atto presupposto. La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante. Il rifiuto espressamente opposto dalla (omissis) di sottoscrivere la lettera di incarico e gli specifici impegni ivi indicati implica inevitabilmente il rifiuto di trattare tali dati rispettando la disciplina di legge e le indicazioni datoriali, nonché di formarsi adeguatamente e di aggiornarsi sul punto”.

Ricorda inoltre il Tribunale che l’art. 24 GDPR impone al Titolare del trattamento, di adottare “tenuto conto … dei rischi” connessi al trattamento dei dati personali “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”: in altre parole, in ragione delle generali esigenze di garanzia e tutela dei diritti dei cittadini sottese a tale impianto normativo, l’ordinamento impone alla società di organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento (“dimostrare”) di aver adottato tali misure organizzative.

Nondimeno, gli artt. 29 e 32 co.4° del Reg. UE n. 2016/679 impongono al Titolare di formare adeguatamente ed aggiornare i propri designati al trattamento, stabilendo che il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.

In forza di ciò, dunque, il datore di lavoro:

  • deve garantire che i dati delle persone fisiche trattati dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge;
  • allo scopo deve formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione;
  • risponde direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati;
  • deve adottare misure organizzative che le consentano altresì di “dimostrare” che questi ultimi trattino i dati personali altrui in modo legittimo.

Il Datore di lavoro si è insomma trovato, per un fatto determinato dalla volontà del proprio dipendente e comunque fuori dalla propria sfera di controllo, nelle condizioni di dover necessariamente sospendere dal servizio il lavoratore, posto che in caso contrario il datore di lavoro avrebbe senz’altro violato le norme di garanzia e di tutela sopra esaminate, esponendosi altresì inevitabilmente al rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR) sia di natura amministrativa (cfr. artt. 83 e 84 GDPR).

A fronte di ciò, il datore di lavoro legittimamente può sospendere il dipendente, in attesa che vengano ripristinate le condizioni minime che consentano di operare nel rispetto della sopra richiamata disciplina di legge nazionale e comunitaria in tema di protezione e tutela dei dati personali.

Scarica qui il provvedimento del Tribunale di Udine e la nostra newsletter sul punto.

Vaccinazione e luoghi di lavoro

garante e vaccinazioni

Presa di posizione del Garante della Privacy in tema di vaccinazione e trattamento dei dati di personali sui luoghi di lavoro.

Nelle FAQ del sito del GPDP sono stati affermati i seguenti principi:

  • il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non sarebbe consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro. Nemmeno il consenso del lavoratore abiliterebbe a tale richiesta.
  • il medico competente non può comunicare al datore di nominativi dei dipendenti vaccinati. Il datore di lavoro avrebbe diritto ad avere copia dei soli certificati di idoneità alla mansione dei propri dipendenti;
  • in attesa di un intervento legislativo che imponga la vaccinazione come requisito necessario per lo svolgimento di determinate mansioni lavorative, solo il medico competente nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Clicca qui per leggere le FAQ del sito GPDP.