via Garofalo 29, 20133 Milano - tel. 02 29408650

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

Ti trovi qui: Home / Approfondimenti / Le sanzioni disciplinari in materia di Privacy

Le sanzioni disciplinari in materia di Privacy

di Lascia un commento

In ambito aziendale, ogni dipendente deve svolgere le proprie mansioni con diligenza e seguire le disposizioni dell’imprenditore e dei suoi collaboratori. La mancata osservanza di queste disposizioni può comportare sanzioni disciplinari basate sul CCNL e sulle normative aziendali. Se il lavoro implica il trattamento di dati personali, le istruzioni devono includere quelle previste dagli articoli 29 e 32 del GDPR. Il titolare del trattamento è responsabile del rispetto di tali istruzioni.

Le regole interne son un tassello fondamentale

In generale in ambito aziendale , e quindi anche per quanto riguarda la privacy, le sanzioni devono essere applicate a chi non rispetta le regole stabilite. Tuttavia, affinché tali sanzioni siano legittime, è necessario che gli autorizzati:

  1. siano a conoscenza delle regole che devono applicare e che queste siano attuabili in modo continuativo e in ogni circostanza;
  2. abbiano ricevuto una formazione adeguata riguardo all’applicazione delle regole stesse;
  3. abbiano la possibilità di interfacciarsi con un superiore, con il referente privacy o con il DPO nel caso in cui, per qualsiasi ragione, non siano in grado di applicare le regole o si trovino in una situazione non coperta dalle istruzioni ricevute;
  4. siano informati dell’esistenza e del funzionamento del sistema sanzionatorio in atto.

Nel caso in cui, nonostante le garanzie fornite dall’organizzazione, il comportamento dell’autorizzato risulti differente dalle indicazioni ricevute e non sia giustificato da un’emergenza o una situazione straordinaria, il datore di lavoro o il titolare del trattamento può procedere con l’applicazione di sanzioni disciplinari secondo le modalità previste.

Va sottolineato che le sanzioni possono riguardare non solo i dipendenti, ma anche altri soggetti autorizzati, come liberi professionisti, stagisti, tirocinanti, volontari o membri della direzione dell’organizzazione.

L’entità delle sanzioni deve essere proporzionata:

  1. al livello di rischio cui l’autorizzato espone i dati personali degli interessati o, più in generale, a una violazione dei dati;
  2. alla recidiva del comportamento sanzionabile;
  3. a quanto previsto dal CCNL applicato dall’organizzazione;
  4. ad eventuali integrazioni previste dal sistema sanzionatorio aziendale, come ad esempio quelle riportate nel Codice Etico.

Cosa deve fare il DPO

Il Data Protection Officer (DPO) è cruciale per garantire che il sistema sanzionatorio sia noto e conforme alle leggi sulla privacy. Deve condurre audit regolari sui trattamenti dei dati personali, verificando l’efficacia delle sanzioni. Infatti gli audit permettono di identificare eventuali carenze e di apportare modifiche per migliorare la conformità dell’intero sistema. Il DPO deve essere messo a conoscenza delle sanzioni irrogate e deve  controllare che le stesse siano applicate correttamente e che prevengano ulteriori violazioni. Il DPO può, altresì, verificare che si effettui una corretta archiviazione delle evidenze a supporto della sanzione, che potrebbero essere eventualmente richieste in occasione di una ispezione da parte dell’Autorità garante.

Infine un compito chiave del suo ruolo è quello di garantire canali di comunicazione chiari e accessibili per permettere ai dipendenti di segnalare dubbi o incertezze sulle norme sulla privacy.

Se una sanzione riguarda la violazione di procedure secondo il D.lgs. 231/2001, l’OdV deve essere informato. Per le infrazioni legate ai reati informatici, devono essere avvisati sia l’OdV sia il DPO.

Il sistema sanzionatorio come esercizio del controllo

Le sanzioni, se applicate correttamente, permettono al Titolare di dimostrare la propria accountability e di provare che l’organizzazione monitora e gestisce l’applicazione delle regole stabilite dopo l’analisi dei rischi.

Questo non significa che “le sanzioni siano imprescindibili”, ma piuttosto che “chi infrange le regole deve essere responsabile delle proprie azioni”. Se l’organizzazione adottasse un atteggiamento troppo permissivo verso chi viola le norme, ciò potrebbe rappresentare una vulnerabilità per l’intero sistema. Ricordiamo infatti l’importanza del principio di accountability in capo al Titolare, che passa anche attraverso la dimostrazione che si ha sotto controllo i processi aziendali e che se ne impone il rispetto a tutti gli incaricati.

La “mancata” sanzione

A volte non è possibile applicare sanzioni perché le istruzioni al personale erano inadeguate. Di conseguenza, chi ha agito non aveva abbastanza indicazioni e ha operato in un modo che gli sembrava appropriato. In questi casi, non ci sono basi per punire il collaboratore perché non aveva ricevuto istruzioni sufficienti.

Tuttavia, si può sfruttare l’occasione per colmare le lacune riscontrate, tenendo presente che una formazione, anche se completa, non sarà mai in grado di coprire ogni eventualità. Inoltre è bene tenere a mente che un sistema complesso e ridondante può risultare di difficile assimilazione da parte del personale e pertanto puntare alla semplicità ed immediatezza nelle indicazioni  è sicuramente un elemento da tenere ben in considerazione.  Può quindi essere utile semplificare e  riorganizzare le istruzioni e i regolamenti in un unico documento, da revisionare almeno una volta l’anno o in presenza di modifiche significative, con l’obiettivo di rendere più agevole la comprensione e l’applicazione delle regole. Questo approccio favorirebbe una maggiore chiarezza e una riduzione degli errori, prevenendo comportamenti sanzionabili dovuti a confusione o difficoltà interpretative.

In conclusione, quali elementi controllare?

Il consulente o DPO incaricati di effettuare le audit periodiche dovrebbero approfittare di questi momenti per verificare:

  1. che i trattamenti siano correttamente tracciati nel registro, abbinati ai corretti incaricati e descritti con chiarezza e semplicità in procedure o regolamenti ;
  2. che eventuali evidenze relative alle sanzioni siano debitamente archiviate, considerando che, come per la salute e sicurezza sul lavoro,  le ispezioni potrebbero avvenire a distanza di anni;
  3. le modalità di conservazione e distruzione  dei documenti e l’identificazione dei soggetti autorizzati ad accedervi;
  4. la conoscenza dell’apparato sanzionatorio da parte di tutti i collaboratori;
  5. che le segnalazioni e le sanzioni rilevanti siano state trasmesse all’Organismo di Vigilanza (ODV) e/o al DPO in relazione ai flussi informativi.

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *