Tag: nomina

Sul rifiuto del dipendente di accettare la nomina al trattamento dei dati personali

Può il dipendente rifiutarsi di sottoscrivere per accettazione la nomina a incaricato al trattamento dei dati personali sottopostagli dal datore di lavoro?

Il Regolamento (UE) 2016/679 (GDPR) ha introdotto la figura del Responsabile del Trattamento dei dati personali.

L’art. 28 GDPR prevede che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.

All’art. 29 è poi previsto che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’interessante ordinanza 504/2024 del Tribunale di Udine, Sezione Lavoro, afferma che “Le prestazioni rese dalla ricorrente (così come da chiunque operi in un ufficio postale) implicano necessariamente il trattamento in senso tecnico di dati personali altrui”.

Conseguentemente “Se dunque è vero che la nomina quale persona designata al trattamento dei dati personali ha natura unilaterale essendo un atto che promana dalla parte datoriale, è tuttavia altrettanto vero che ogni nomina/designazione per lo svolgimento di determinate mansioni/incarichi implica una accettazione da parte del destinatario di quell’atto (senza la quale la nomina non può produrre i propri effetti), che in base ai principi generali dell’ordinamento deve rivestire la stessa forma dell’atto presupposto. La mancata accettazione da parte del lavoratore dell’incarico conferitogli dal datore porta a conseguenze nella gestione del rapporto di lavoro che si producono su diversi piani: violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto, inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante. Il rifiuto espressamente opposto dalla (omissis) di sottoscrivere la lettera di incarico e gli specifici impegni ivi indicati implica inevitabilmente il rifiuto di trattare tali dati rispettando la disciplina di legge e le indicazioni datoriali, nonché di formarsi adeguatamente e di aggiornarsi sul punto”.

Ricorda inoltre il Tribunale che l’art. 24 GDPR impone al Titolare del trattamento, di adottare “tenuto conto … dei rischi” connessi al trattamento dei dati personali “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”: in altre parole, in ragione delle generali esigenze di garanzia e tutela dei diritti dei cittadini sottese a tale impianto normativo, l’ordinamento impone alla società di organizzarsi in modo da assicurare il legittimo trattamento dei dati e di essere in grado di provare in qualsiasi momento (“dimostrare”) di aver adottato tali misure organizzative.

Nondimeno, gli artt. 29 e 32 co.4° del Reg. UE n. 2016/679 impongono al Titolare di formare adeguatamente ed aggiornare i propri designati al trattamento, stabilendo che il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.

In forza di ciò, dunque, il datore di lavoro:

  • deve garantire che i dati delle persone fisiche trattati dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge;
  • allo scopo deve formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione;
  • risponde direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati;
  • deve adottare misure organizzative che le consentano altresì di “dimostrare” che questi ultimi trattino i dati personali altrui in modo legittimo.

Il Datore di lavoro si è insomma trovato, per un fatto determinato dalla volontà del proprio dipendente e comunque fuori dalla propria sfera di controllo, nelle condizioni di dover necessariamente sospendere dal servizio il lavoratore, posto che in caso contrario il datore di lavoro avrebbe senz’altro violato le norme di garanzia e di tutela sopra esaminate, esponendosi altresì inevitabilmente al rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR) sia di natura amministrativa (cfr. artt. 83 e 84 GDPR).

A fronte di ciò, il datore di lavoro legittimamente può sospendere il dipendente, in attesa che vengano ripristinate le condizioni minime che consentano di operare nel rispetto della sopra richiamata disciplina di legge nazionale e comunitaria in tema di protezione e tutela dei dati personali.

Scarica qui il provvedimento del Tribunale di Udine e la nostra newsletter sul punto.

231, principi in tema di messa alla prova e nomina del difensore

Interessanti pronunce della S.C. di Cassazione in materia di responsabilità degli enti ex d.lgs. 231/2001.

Anzitutto, in tema di messa alla prova, all’udienza del 27 ottobre 2022, le Sezioni Unite Penali hanno enunciato il seguente principio di diritto: “L’istituto dell’ammissione alla prova (art. 168-bis c.p.) non trova applicazione con riferimento agli enti di cui al d. lgs. n. 231 del 2001”.

Scarica qui l’informativa provvisoria della Suprema Corte.

La pronuncia  risulta regolare in senso contrario alcune decisioni precedenti, già oggetto di commento con nostro post del 28.7.2022 (ad es. Tribunale di Bari del 22.6.2022).

La seconda pronuncia è la n. 35387/2022 della Sezione II penale che ha stabilito come la nomina del difensore dell’ente indagato/imputato ai sensi del d.lgs 231/2001 non possa essere rilasciata dal legale rappresentante dell’ente che pure sia indagato/imputato nel medesimo procedimento e ciò anche laddove sia stata rilasciata  in situazione di urgenza.

Afferma infatti la Corte che “è inammissibile, per difetto di legittimazione rilevabile di ufficio ai sensi dell’art. 591, comma primo, lett. a), cod. proc. pen., la richiesta di riesame di decreto di sequestro preventivo presentata dal difensore dell’ente nominato dal rappresentante che sia imputato o indagato per il reato da cui dipende l’illecito amministrativo (…) il divieto di rappresentanza stabilito dall’art. 39 d.lgs n. 231 del 2001 è funzionale ad assicurare la piena garanzia del diritto di difesa al soggetto collettivo; d’altra parte, tale diritto risulterebbe del tutto compromesso se l’ente partecipasse al procedimento attraverso la rappresentanza di un soggetto portatore di interessi confliggenti da un punto di vista sostanziale e processuale”.

Continua la S.C. affermando che il sistema della responsabilità amministrativa degli enti è volto proprio a sollecitare le persone giuridiche all’adozione di modelli organizzativi al fine di prevenire i reati rispetto ai quali possa sorgere la loro responsabilità amministrativa, strutturando la propria organizzazione in modo da adeguare l’intervento nel caso in cui dalla propria attività possa conseguire un’indagine penale.

La Cassazione ritiene pertanto che un modello organizzativo adeguato deve considerare l’ipotesi – ovviamente da scongiurare in forza della predisposizione delle altre regole cautelari autoprodotte nel modello stesso – in cui il legale rappresentante sia ad essere indagato per un reato presupposto all’illecito amministrativo ascritto a carico dell’ente, e si trovi quindi in una situazione di conflitto con gli interessi dell’ente, in maniera  tale che l’ente possa provvedere a tutelare i propri diritti di difesa provvedendo alla nomina di un difensore da parte di un soggetto specificamente delegato a tale incombente per i casi di eventuale conflitto con le indagini penali a carico del rappresentante legale.

Scarica qui la sentenza integrale e la nostra Newsletter sull’argomento.