La vicenda, analizzata dal punto di vista del rispetto della normativa sulla Privacy, ha come protagonista un uomo cinquantaduenne ex dipendente di un noto Istituto di credito. A seguito dell’inchiesta a suo carico, anche la Banca stessa è stata inserita nell’elenco degli indagati.
Ricapitolando i fatti, l’uomo, ad oggi licenziato a seguito di un processo disciplinare, risulta essere indagato per accesso non autorizzato, altresì abusivo, ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato. Secondo la Procura incaricata, l’uomo avrebbe compiuto oltre 6.600 accessi non autorizzati a danno di 3.572 clienti, tra cui inclusi i maggiori esponenti della politica italiana.
La Banca, insospettita da diverse attività anomale, ha aperto un’indagine interna avviata dal proprio reparto di sicurezza. In seguito, ha segnalato il caso alle autorità che si sono tempestivamente attivate all’avvio delle indagini. Ad oggi la vicenda è ancora sotto indagine e deve essere analizzata in maniera definitiva dagli inquirenti.
ANALISI DEI SOGGETTI COINVOLTI
Alla luce degli eventi, l’Istituto di credito si è dichiarato “parte lesa” della faccenda. Ma la sua posizione è effettivamente questa? Per rispondere alla domanda risulta necessario analizzare chi sono i soggetti indicati nel GDPR.
In primo luogo è bene concentrarsi su chi siano gli interessati del trattamento dei dati. Il soggetto interessato è colui a cui si riferiscono i dati personali trattati e, secondo il Considerando 14 del GDPR non può essere una persona giuridica, un ente o un’associazione, ma solamente una persona fisica. Il trattamento (art. 4 co. 2 del GDPR) deve essere effettuato in maniera adeguata, rispettando i principi del suddetto Regolamento. Ciò avviene a fronte di un’informativa privacy ex art. 13 del GDPR, sottoscritta dagli interessati.
Il soggetto responsabile del trattamento è il titolare, il quale ha il compito di adottare misure idonee e definire le finalità, rispondendo in casi di violazioni. Invece, il responsabile del trattamento, a seguito di istruzioni impartire dal titolare, ha l’obbligo di adempiere ai compiti definiti all’interno dell’atto di nomina ex art. 28 del GDPR.
I soggetti autorizzati al trattamento dei dati sono tali grazie ad un apposito atto di nomina ex art. 29 del GDPR, nel quale vengono definite, in maniera esaustiva e precisa, le finalità e le modalità del trattamento, oltre ad ulteriori elementi necessari.
Nella vicenda presa in esame, i dati violati risultano essere degli interessati, gli unici e veri soggetti a cui è stato recato un danno tale da ledere i propri diritti in materia di trattamento dei dati.
PROCEDURE NECESSARIE PER ESSERE CONFORMI AL GDPR
La normativa dichiara necessaria l’adozione, da parte del titolare del trattamento, di misure di sicurezza idonee al fine di evitare o ridurre al minimo l’evento dannoso tale da creare pregiudizio ai diritti e alle libertà fondamentali degli interessati. Nel caso in cui il danno si verifichi, ai sensi dell’Articolo 82 del GDPR, gli interessati hanno il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
Per di più, secondo la Procura, gli accessi ai dati sarebbero avvenuti con particolare facilità. L’uomo indagato risulterebbe essere un dipendente di livello medio, che avrebbe semplicemente avviato una ricerca all’interno dei sistemi informatici della Banca attraverso i nominativi dei soggetti interessati, ottenendo così l’accesso ai dati dei conti. L’istituto di credito, quindi, avrebbe dovuto, sempre secondo la Procura, adottare misure di sicurezza adeguate, attraverso procedure ad hoc, al fine di evitare tali situazioni.
VIOLAZIONE DEL D.LGS 231/2001
Oltre alla violazione del Regolamento Europeo 2016/679, secondo gli inquirenti, l’Istituto di credito avrebbe violato il D.Lgs. 231/2001 sulla responsabilità amministrativa applicabile alle persone giuridiche. In particolare, la Banca non avrebbe segnalato in modo tempestivo gli accessi abusivi agli investigatori.
ACCENNI AL CONTROLLO A DISTANZA DEL DIPENDENTE
A fronte di questa vicenda è importante porre l’accento sul tema del controllo a distanza del dipendente. Conseguentemente la riforma del c.d. Statuto del Lavoratore 300/1970, così come modificato dal D.Lgs. 151/2015 c.d. Jobs Act, è decaduto il divieto generale di utilizzare impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei dipendenti (precedente versione dell’art. 4). È necessario, tuttavia, che gli strumenti possano essere impiegati per differenti finalità tassative (esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale) e l’installazione sarà possibile solo con previo accordo collettivo stipulato dalla rappresentanza sindacale aziendale/unitaria o, in mancanza, previa autorizzazione dell’Ispettorati del Lavoro (INL). Il datore, inoltre, ha l’obbligo di fornire adeguate informazioni al dipendente circa le modalità d’uso degli strumenti e le modalità di controllo, rispettando l’attuale normativa in materia di Privacy per il trattamento dei dati personali. In particolare, il trattamento deve avvenire attraverso il rispetto dei principi del Regolamento Europeo 2016/679 (art. 5 del GDPR): eventuali controlli del datore di lavoro dovranno essere leciti, corretti e trasparenti con finalità predeterminate e limitate allo stretto necessario per il conseguimento di queste ultime.
Se hai dei dubbi sul tema della responsabilità in caso di violazioni del GDPR, sul D.Lgs 231/2001 e sul controllo a distanza del dipendente, non esitare a contattare B&P Solution. I nostri esperti ti offriranno un’analisi approfondita e puntale riguardo la tua realtà aziendale, individuando eventuali criticità fornendoti tutte le indicazioni necessarie per essere pienamente conforme al GDPR. Inoltre, potranno fornirti supporto riguardo le procedure necessarie all’implementazione di un eventuale Modello 231. La tutela preventiva in materia ti eviterà conseguenze tediose, non aspettare oltre!
Dott.ssa Giada Pongiluppi
Commenti recenti