Contenuto
Un ex dipendente di una società, prima di essere allontanato dall’azienda dalla quale era stato assunto, ha copiato i dati dei partners commerciali in possesso dell’azienda al fine di poter inviare loro offerte concorrenziali ovvero il proprio CV.
È lecito domandarsi quali siano le conseguenze per la società da cui le informazioni sono state trafugate e quali azioni possono essere intraprese in merito.
In primo luogo occorre precisare che la presenza di un interesse strettamente personale del dipendente, fa sì che debba escludersi una responsabilità per fatto reato dell’ente di cui al Decreto 231 in quanto manca l’elemento essenziale dell’interesse o vantaggio dell’ente.
Alle medesime conclusioni si giunge tipizzando la fattispecie occorsa poiché, la condotta realizzata dal dipendente, non risulta appartenere ad alcun reato presupposto di cui al D.Lgs. 231/2001 neanche relativamente ai reati informatici.
Posto quanto sopra, si rileva che la condotta del dipendente risulta invece astrattamente rilevante con riguardo alla normativa sul trattamento dei dati personali in quanto, a prescindere dai suoi scopi, il dipendente ha posto in essere un’indebita violazione della privacy appropriandosi di informazioni che non attengono solo ai dati societari bensì anche relativi a persone fisiche.
A fronte di tale condotta, laddove i dati trafugati fossero stati di natura personale e non rinvenibili in visura camerale o altro strumento di pubblicità, allora il titolare del trattamento, individuato nella società in cui è avvenuto il c.d. data breach o furto di dati avrebbe dovuto:
- effettuare la notifica all’autorità di controllo dell’avvenuta violazione nei modi ed alle condizioni di cui all’art 33 del GDPR 679/16 ed adeguare le misure di sicurezza già in essere in ragione dell’evento lesivo occorso;
- comunicare la violazione dei dati personali ai sensi dell’art. 34 del GDPR 679/16 comunicazione che, in ogni caso, non è richiesta laddove sia “soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia”.
Tra gli strumenti di cui la società deve dotarsi per evitare un trattamento illecito delle informazioni di cui è in possesso da parte dei propri dipendenti o da soggetti terzi, corre l’obbligo di annoverare il codice di condotta così come disciplinato e descritto all’art. 40 del medesimo Regolamento Europeo 679.
Ebbene riferimenti normativi disciplinano il trattamento illecito dei dati e l’omessa adozione di strumenti idonei di tutela delle informazioni possedute dalla società (titolare del trattamento) rispetto alla tipologia di trattamento e con riguardo alle possibilità economiche del titolare del trattamento medesimo.
Anche il datore di lavoro, pertanto, rischia di essere ritenuto responsabile per il fatto del dipendente a lui subordinato, che ha potuto commettere il furto di dati grazie all’assenza delle misure di prevenzione e controllo idonee a garantire la sicurezza dei dati trattati.
La mancata adozione delle misure idonee a ridurre al minimo i rischi è considerata difatti un’agevolazione alla commissione del crimine che non consente alla società, titolare del trattamento, di andare esente da colpa.
La captazione non autorizzata di informazioni personali in possesso di una società, da parte di un dipendente, comporta una responsabilità per l’ente stesso il quale non ha adottato misure in grado di proteggere le informazioni di cui è in possesso da eventuali utilizzi/diffusioni non autorizzati.
In ogni caso la società dovrà:
- notificare la fuga di informazioni personali all’autorità di controllo;
- comunicare agli interessati l’avvenuta fuga di informazioni;
- adottare strumenti più performanti ed idonei ad impedire il reiterarsi dell’evento.