NEWS

 

Accesso illecito a banche dati per fini personali: il dipendente ne risponde come titolare e rischia sanzioni multiple

Nello svolgimento dell’attività lavorativa, l’accesso a una banca dati personali con credenziali assegnate in virtù delle mansioni da svolgere non garantisce di per sé la liceità del trattamento. Infatti, se un dipendente accede a un sistema informativo per motivi estranei all’attività lavorativa, quel gesto può implicare una violazione della privacy, in assenza di legittimazione giuridica.

Inoltre, ciò può comportare una qualificazione inattesa per chi opera tale accesso: quella di titolare (non legittimato) del trattamento, in quanto stabilisce autonomamente finalità e mezzi (senza base giuridica), assumendone con ciò la responsabilità ai sensi dell’art. 4.7 del GDPR.

Le Linee guida 07/2020 del Comitato europeo per la protezione dei dati (EDPB), sulle figure di titolare e responsabile del trattamento, al punto 88 specificano che chiunque stabilisca da sé finalità e mezzi del trattamento è da considerarsi titolare del trattamento, indipendentemente dal ruolo formale ricoperto nell’organizzazione.

Emblematica, al riguardo, è la sentenza del Tribunale di Stoccarda (25.2.2025 numero di fascicolo 2 ORbs 16 Ss 336/24) che ha rigettato il ricorso di un elemento delle forze dell’ordine contro la multa che gli era stata comminata per l’accesso, a titolo personale, a una banca dati di servizio: ciò sulla base della considerazione che gli andava riconosciuto lo status di titolare del trattamento, svolto in maniera illecita.

Nel contesto italiano, l’art. 615-ter del Codice penale punisce fra l’altro l’accesso abusivo a un sistema informatico, anche da parte di soggetti abilitati se l’accesso avviene per finalità non autorizzate (“contro la volontà espressa o tacita di chi ha il diritto di escluderlo”). L’art. 167 – ter del Codice privacy prevede sanzioni penali per acquisizione fraudolenta di dati personali su larga scala. Il GDPR consente di comminare sanzioni pecuniarie a persone che – ancorché interne – agiscano autonomamente violando i principi del trattamento.

Un punto importante da sottolineare è che i profili di responsabilità non si fermano solo sul singolo ma chiamano anche in causa l’organizzazione, pubblica o privata che sia, legittima titolare del trattamento.

La responsabilità dell’organizzazione - titolare quindi si configura non solo in presenza di una condotta attiva, ma anche laddove vi sia omessa vigilanza o mancanza di un sistema di prevenzione efficace.

L’art. 32 del GDPR impone l’adozione di misure tecniche e organizzative adeguate al rischio, mentre l’art. 24 stabilisce l’obbligo generale del titolare di garantire la conformità del trattamento anche mediante politiche interne: carenze al riguardo possono determinare una responsabilità autonoma dell’organizzazione rispetto a quella del singolo che accede senza motivazione.

Inoltre, nel settore pubblico, la segnalazione di un accesso penalmente rilevante è un obbligo di legge (art. 331 del Codice di procedura penale ) per i pubblici ufficiali. L’amministrazione ha inoltre l’onere di valutare se l’accesso costituisca una violazione da notificare al Garante ai sensi dell’art. 33 GDPR. Nel settore privato, sebbene non vi sia un obbligo di denuncia penale, permane l’obbligo di valutare ogni incidente come potenziale data breach.

Le conseguenze per il titolare, in caso di accessi illeciti compiuti da propri dipendenti, possono essere gravi e sistemiche: a) sanzioni da parte del Garante privacy ex art. 83 del GDPR quando l’accesso abusivo è reso possibile da “difetti strutturali” (es. autorizzazioni eccessive, tracciamenti assenti); b) in sede civile, il titolare può essere chiamato a rispondere di eventuali danni arrecati agli interessati, in base all’art. 82 del Regolamento (salvo che non dimostri – l’onere della prova fa capo a lui - di avere adottato tutte le misure idonee a evitare l’accesso abusivo e quindi che l'evento dannoso non gli è in alcun modo imputabile); c) reputazionali: in un’epoca in cui la fiducia dei cittadini nei confronti di chi tratta i loro dati è cruciale, la scoperta di accessi indebiti – soprattutto se non gestiti con tempestività – può minare la credibilità dell’ente o dell’impresa.

In sintesi, il dato personale non è un’informazione disponibile solo perché si ha una password: è un bene giuridico autonomo, soggetto a regole precise. Ogni consultazione deve essere giustificata, documentabile, coerente con le finalità dell’organizzazione.

Per questi motivi, il titolare non può limitarsi a un’impostazione formalistica del trattamento, ma deve adottare – con il professionale apporto del Data Protection Officer, ai sensi dell’art. 39 del GDPR - un modello di accountability autentico, che preveda formazione effettiva, controlli sistemici, responsabilizzazioni interne chiare e un sistema di verifica ex ante degli accessi. In assenza di tutto ciò, il rischio che la responsabilità per l’illecito di un singolo diventi una responsabilità dell’intera struttura è concreto.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev Telecamere urbane e intelligenza artificiale: offuscare i volti non basta per tutelare la privacy
Next Oltre il self-assessment: come rafforzare la mappatura dei fornitori tra filiera, audit e responsabilità del titolare del trattamento

Galleria Video

Il presidente di Federprivacy a Rai Parlamento

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza