Furto di dati, a pagare è il datore

I RISVOLTI NEGATIVI DELLO SMARTWORKING: SANZIONATA L’IMPRESA PER VIOLAZIONE DELLA PRIVACY
Pagina a cura di Antonio Ciccia Messina
Imprese sanzionate per violazione della privacy in caso di furto di dati dal computer personale del dipendente utilizzato dallo stesso per lavoro. È quanto deciso dal Tribunale amministrativo provinciale di Varsavia (sentenza del 13 maggio 2021, nel caso II SA/Wa 2129/20, solo ora resa nota), che, confermando un precedente provvedimento del Garante della privacy polacco, ha condannato un’università alla sanzione di circa 11 mila euro per non avere attuato misure adeguate a impedire la divulgazione di dati personali su un laptop di un dipendente. In sintesi, il giudice ha ritenuto responsabile l’università, in quanto rivestita della qualifica di titolare del trattamento, dal momento che essa ha determinato le finalità e i mezzi del trattamento dei dati trattati con il computer portatile e il dipendente ha agito per suo conto. Anche questi sono, dunque, rischi dello smartworking, per attuare il quale non è stato e non è infrequente che si chieda al lavoratore di utilizzare propri strumenti e apparecchi.

La vicenda polacca. Il 20 agosto 2020, il Garante della privacy per la Polonia ha irrogato una sanzione amministrativa dell’importo di circa 11 mila euro all’università di Scienze della Vita di Varsavia, per non aver adottato misure tecniche e organizzative sufficienti a prevenire l’esposizione di oltre 80 mila dati sui su studenti dell’ateneo. Il Garante polacco ha accertato che la violazione dei dati è avvenuta a seguito di un furto del computer portatile di un dipendente universitario, sul quale erano stati salvati i dati personali degli studenti. L’università si è difesa sostenendo la propria estraneità all’accaduto e cioè al trattamento dei dati memorizzati sul dispositivo rubato. Secondo l’università, invece, è stato il dipendente ad agire senza in violazione delle procedure interne.

L’università, a questo proposito, ha evidenziato una conservazione di dati eccedente il termine previsto dall’ateneo: il dipendente, all’insaputa dell’università, ha elaborato i dati degli studenti relativi a un quinquennio, mentre, nel suo regolamento interno, l’università ha specificato che i dati degli studenti dovevano essere trattati per un periodo massimo di tre mesi.

La vicenda è approdata sul tavolo della magistratura, ma il tribunale ha confermato il provvedimento del Garante e ha ritenuto l’università responsabile di violazione del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
CONTENUTO A PAGAMENTO
Il contenuto integrale di questo articolo è visualizzabile solo dagli abbonati aMENSILE Non sei abbonato?
Scopri i piani di abbonamento
Sei già abbonato? Effettua il login nel modulo sottostante

Hai dimenticato la Password?
Registrati

Fonte:
logoitalia oggi7