Provvedimenti del Garante della Privacy: quali ricadute? A cura di Paolo de Berardinis

Sono recentissime le “grida” del Garante della Privacy (la prima del 21 dicembre 2023 n. 642, la seconda del 22 febbraio 2024, n. 127) che hanno affrontato un aspetto di reale delicatezza che attiene alla posta privata dei lavoratori dipendenti veicolata a mezzo dei sistemi (hardware e software) di proprietà del datore di lavoro.

Ben ha fatto il Garante a chiedere il contributo di quanti sono interessati, a vario titolo, a tale argomento, praticamente in teoria tutti i datori di lavoro, bisognerà comprendere che uso farà di questo materiale che certamente sarà di notevole mole.

Lo scopo di questo scritto è, in parte, quello di aggiungere delle riflessioni ed in parte render chiaro, in particolare alle aziende, di quale importanza è l’argomento in questione, prospettando le situazioni nelle quali si manifestino ricadute concrete e rilevanti con le connesse limitazioni, perché di tanto si tratta, alle loro azioni anche, se non principalmente, come datori di lavoro.

Il piano su cui ci si muoverà è quello della possibilità, che si verifica con una notevole frequenza, dell’utilizzo illegittimo degli strumenti informatici.

Gli esempi possono essere infiniti, atteso che oggi tutto passa attraverso i PC, gli Smartphone e via dicendo. Si va dall’utilizzo “ludico” nel corso dell’orario di lavoro, agli insulti se non altro a colleghi e superiori, alle visite a siti sconsigliabili, ovvero, peggio, al trasferimento di dati o notizie riservati a soggetti esterni concorrenti.

Con un recente provvedimento (cfr. provvedimento n. 577 del 16 novembre 2023) il Garante ha sanzionato un datore di lavoro, condannandolo al pagamento di ben € 20.000,00 in quanto questi aveva utilizzato (secondo il Garante mal utilizzato, ma qui sorgono dei dubbi) talune informazioni trascurando il rispetto delle regole proprie della Privacy. Il dubbio del quale si è fatto cenno riguarda la, possibile, ultrattività di un simile provvedimento, per cui la trasmodazione della  illegittimità di cui si parla al provvedimento disciplinare, ma questo aspetto meriterebbe una trattazione a parte, mentre ciò che va qui evidenziato è la stretta connessione, cioè la contiguità dei campi, tra quello disciplinare e quello della privacy.

Andando sul pratico, si verifica sempre che ad una certa azione compiuta da un collaboratore, talvolta scoperta per caso, consegua la necessità di un accertamento, volto a comprendere cosa mai sia avvenuto in senso oggettivo e completo. Si apre pertanto una fase che possiamo definire istruttoria, il cui scopo è capire, non necessariamente incolpare, ma semplicemente delineare l’effettivo perimetro dell’accadimento.

Senonché ciò che va compreso, dunque il rilievo dei dati, risiede proprio negli strumenti adoperati dal collaboratore, il PC lo Smartphone dei quali si è detto. Non è certo indifferente capire se quanto si è appurato costituisce un unicum attribuibile alla persona, ovvero se l’episodio si è ripetuto, ne è rinunciabile l’accertamento delle modalità perché in queste risiede la differenza tra la colpa ed il dolo della condotta della persona. Il punto è che tutto quanto si necessita sapere è, o meno, verificabile a seconda di come l’uso degli strumenti citati e di quelli informatici in genere, è stato regolamentato.

Spesso le aziende, mi sia concesso, con una certa superficialità consentono di fatto un uso sostanzialmente promiscuo dei beni di cui si parla. Così spesso sono assenti controlli quanto al rispetto delle procedure, laddove esistenti. Il risultato di ciò è che, nella migliore delle ipotesi l’accertamento sarà difficoltoso, in altre impossibile perché illecito, per cui, se realizzato, inutilizzabile.

Unica eccezione è quella dell’intervento della magistratura, ma perché ciò possa avvenire devono esservi delle condizioni tali da potersi prospettare la commissione di un reato, ovvero la sussistenza di un pericolo grave ed imminente.

Ecco allora vi è la situazione che dalle, del tutto probabili, indicazione restrittive che il Garante detterà, deve essere controbilanciata una opportuna organizzazione e dunque da policy, a mio avviso, altrettanto restrittive, che non consentano l’uso promiscuo dei più volte citati strumenti informatici, ciò che consentirà, a determinate condizioni, di esaminare quanto necessita nei casi che si sono sopra ipotizzati.

Anche per rendere chiaro al Garante le effettive necessità che le aziende incontrano in questo delicato campo, vista la sua disponibilità ad accogliere suggerimenti, consigliamo vivamente di trasferire alla predetta Autorità tutte le perplessità, come l’Autorità stessa ha richiesto. Evidenziando in tal modo sia le difficoltà che le limitazioni che ne scaturirebbero, finendo con il creare una situazione davvero assurda dove chi è oggetto di un illecito non è in grado di adeguatamente reagire.

Da ultimo, ricordiamo che tale attività potrà essere realizzata entro 30 giorni decorrenti dal 16 marzo 2024, data in cui il provvedimento n. 127 del 22 febbraio 2024 è stato pubblicato in Gazzetta Ufficiale.