Privacy: il datore di lavoro è sanzionabile per violazioni commesse dal dipendente
Privacy: il datore di lavoro è sanzionabile per violazioni commesse dal dipendente
Il 16 marzo 2022, il Garante svedese ha irrogato una sanzione da poco meno di 30.000 euro all’Agenzia doganale svedese a causa di una app installata da un paio di dipendenti sul cellulare aziendale dato loro in dotazione.
In breve, il cellulare veniva dato in dotazione dall’Agenzia doganale ai propri dipendenti affinché se ne servissero per effettuare la propria attività lavorativa. Qualche dipendente aveva finito per impostare sul cellulare il servizio “Google Photo”, il quale sincronizzava in cloud Google le foto scattate dai dipendenti con il cellulare.
La sincronizzazione delle foto, come ha rilevato il Garante svedese nel proprio provvedimento, in questo caso era da qualificarsi come un trasferimento dei dati verso gli Stati Uniti, essendo questo il Paese extra-europeo che ospitava i server di riferimento del servizio cloud di Google e, dunque, in cui le foto, direttamente o indirettamente, finivano per essere conservate. Ovviamente, i dipendenti dell’Agenzia coinvolti non avevano pensato a questo aspetto quando avevano installato il servizio sul dispositivo.
Questa forma di trasferimento “accidentale” extra-UE è stata la base della sanzione irrogata all’Agenzia delle dogane poiché, sottolinea il Garante svedese, in qualità di datore di lavoro-titolare del trattamento dei dati oggetto del trasferimento avrebbe dovuto adottare delle misure tecniche e organizzative volte ad impedire tali ipotesi di trasferimenti “accidentali” di dati.
In particolare, dopo aver premesso che a nulla rilevava la difesa dell’Agenzia circa il fatto che l’utilizzo dell’app da parte dei dipendenti non fosse stata autorizzata dal datore di lavoro, il Garante svedese ha ricordato che il titolare del trattamento deve adottare tutte le misure tecnico-organizzative utili a prevenire illiceità nel trattamento dei dati personali che tratta, ivi incluse illiceità che possano essere originate da comportamenti scorretti dei propri dipendenti.
In altre parole, il Garante svedese ha sottolineato come l’Agenzia delle dogane avrebbe potuto (e dovuto!) prevedere un blocco di installazione di app e servizi come quello oggetto del caso contestato. L’Agenzia avrebbe infatti dovuto pensare alla possibilità che i dipendenti installassero app che comportassero un trasferimento illecito dei dati e, di conseguenza, prevedere un blocco preventivo di queste app.
Anche questo caso, come molti altri, ci ricorda che non è raro che il datore di lavoro sia sanzionato per comportamenti dei dipendenti che, con qualche piccolo intervento preventivo e un po’ di adeguata formazione, avrebbero potuto essere facilmente evitabili.