Incaricati del trattamento: istruzioni per l’uso (delle informazioni altrui)


Eccoci nuovamente ad approfondire gli ultimi interventi semplificatori del Garante oramai divenuti Legge dello Stato dopo la pubblicazione sulla Gazzetta Ufficiale.

Oggi affronteremo un passaggio molto delicato sia dal punto di vista del rischio d’impresa che da quello degli obblighi contrattuali del singolo lavoratore: il conferimento dell’incarico al trattamento dei dati personali.

Chi è l’Incaricato?

Codice Privacy, Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.

Dalla pubblicazione del Provvedimento del Garante 27 novembre 2008 ho letto di tutto in merito alle nuove nomine degli Incaricati per le categorie di Titolari che rientrano nell’alveo delle semplificazioni privacy. In questo post cercheremo di fare chiarezza.

Anzitutto:

  • la nomina ad Incaricato va sempre effettuata per iscritto così come per iscritto vanno dettagliatamente indicati i trattamenti consentiti.
  • La semplificazione riguarda esclusivamente le istruzioni da impartire agli Incaricati in materia di misure minime di sicurezza, ovvero:
  1. Quali cautele adottare per assicurare la segretezza della componente riservata della credenziale di autenticazione e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato (punto 4 All. B);
  2. Le istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (punto 9 All. B);
  3. Le istruzioni organizzative e tecniche per il backup dati con frequenza almeno mensile (punto 18 All. B);
  4. Le istruzioni per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (punto 21 All. B).

A questo punto mi sovviene una domanda: una volta spiegato oralmente ai miei Incaricati del trattamento come adottare le misure minime di sicurezza, in caso di eventuali contestazioni, come faccio a dimostrare:

  • Di averlo effettivamente fatto?
  • Il livello e l’efficacia di contenuti e dettagli nelle istruzioni impartite?

A parte la sanzione (pesante) prevista dal Codice per omessa adozione di misure minime di sicurezza (somma da €20.000 a 120.000!), in questa sede interessa rilevare il caso in cui venga cagionato un danno a terzi per effetto di maldestre operazioni di trattamento effettuate da un Incaricato.

Codice Privacy, Art. 15. Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Ovvero: il trattamento dati personali è equiparato all’esercizio di un’attività pericolosa con conseguente inversione dell’onere della prova a carico del Titolare il quale sarà tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. Siamo, evidentemente, nell’ambito della c.d. colpa oggettiva: salvo caso fortuito, ci sarà sempre una misura idonea che non è stata adottata, diversamente il danno non si sarebbe prodotto.

Secondo la giurisprudenza prevalente della Cassazione, la responsabilità sarà pertanto imputata a chi, al momento del danno, esercitava il controllo sull’attività del trattamento: l’imprenditore è pertanto sempre tenuto ad organizzare l’attività di trattamento in maniera tale da poter ricondurre gli eventi dannosi ai soli episodi di caso fortuito.

Ritorniamo al caso in cui un Incaricato abbia cagionato un danno a terzi come conseguenza di un trattamento illecito di dati personali per violazione delle misure minime di sicurezza: nessun dubbio che spetti al Titolare il risarcimento nei confronti del terzo, ma, qualora il danno sia dovuto a negligenza o errore imputabile all’Incaricato, il Titolare potrà su di esso rivalersi solo se proverà di aver adottato tutte le cautele del caso, ed in particolare, se dimostrerà di aver impartito chiare, precise, corrette istruzioni al momento del conferimento dell’Incarico o di un cambio di mansioni o d’introduzione di nuovi significativi strumenti.

Questo significa che: in caso di violazione da parte dell’Incaricato delle disposizioni impartite e degli obblighi di fedeltà (Art. 2105 c.c.) e diligenza (art. 2104 c.c.) oltre ad applicare le sanzioni disciplinari previste (art. 2106 c.c.), il Titolare potrà rivalersi su di esso in quanto parte contrattuale inadempiente, richiedendo quindi il risarcimento dei danni subiti.

 

In conclusione

Considerato che integrare la Lettera d’Incarico con le procedure da seguire in materia di misure minime di sicurezza non comporta un grande sforzo logistico e intellettuale, visti i possibili scenari in caso di danni come conseguenza del trattamento, consiglio vivamente di lasciar perdere istruzioni orali, salvo che siano collocate nel contesto di un vero e proprio intervento formativo effettuato da professionisti con tanto di rilascio di certificazione.

Pertanto: Lettere d’Incarico chiare e particolareggiate con tanto di procedure per l’adozione e il rispetto delle misure minime di sicurezza aziendali, supportate e integrate da un idoneo Disciplinare interno per l’uso di Internet e della posta elettronica (anch’esso obbligatorio ex art. 154, comma 1, lettera c, Codice Privacy) da pubblicizzare adeguatamente (e da sottoporre ad aggiornamento periodico) che indichi le modalità di utilizzo degli strumenti elettronici messi a disposizione.

 

Annunci

Un pensiero su “Incaricati del trattamento: istruzioni per l’uso (delle informazioni altrui)

  1. Pingback: dree mss pheeal emu wedgie hangfire

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...