18 September, 2024

Provvedimenti disciplinari, utili a gestire la responsabilità

In ambito aziendale, ogni lavoratore dipendente, nello svolgere le proprie mansioni lavorative deve usare la diligenza richiesta dalla natura della prestazione dovuta e dall’interesse dell’impresa. Egli deve anche osservare le disposizioni per l’esecuzione e per la disciplina del lavoro che vengono impartite dall’imprenditore e dai suoi collaboratori dai quali lo stesso lavoratore gerarchicamente dipende[1].

L’inosservanza di tali disposizioni può dar luogo all’applicazione di sanzioni disciplinari basate sul CCNL applicato, eventualmente integrato da disposizioni aziendali.

In questo contesto, è indubbio che, qualora le mansioni del lavoratore comprendano il trattamento di dati personali, le suddette disposizioni debbano includere le specifiche istruzioni previste dagli articoli 29 e 32, paragrafo 4, del GDPR.

Il rispetto di tali istruzioni deve essere sottoposto a controllo da parte del titolare del trattamento, il quale è responsabile, ai sensi del Considerando 74 del GDPR, della gestione generale dei trattamenti a lui attribuiti.

Il sistema sanzionatorio in azienda in ottica privacy

Il sistema sanzionatorio, richiamato nella Privacy Policy, nella nomina di “autorizzato” o in altri documenti aziendali, deve sempre necessariamente essere reso noto agli “autorizzati al trattamento”.

Questi ultimi devono:

  1. essere messi nelle condizioni di poter applicare correttamente le misure previste;

  2. poter fare riferimento a un’autorità competente alla quale rivolgersi qualora, per diverse ragioni, non fossero in grado di attuare tali misure.

Nel caso in cui le misure siano state implementate in maniera efficace, l’“autorizzato” che non le applichi potrà essere soggetto a sanzioni disciplinari, come previsto dal CCNL, dal Codice etico o, qualora non si tratti di un lavoratore subordinato, da altri documenti aziendali.

In questa sede si analizzeranno le sanzioni disciplinari in ambito privacy, con particolare attenzione a quelle legate al mancato rispetto, da parte degli autorizzati, delle misure loro imposte. Non verrà, dunque, trattato l’argomento in termini generali, sebbene i principi esaminati possano avere una rilevanza trasversale. Sarà inoltre affrontato il tema degli audit di competenza del DPO e, più in generale, le sue responsabilità in relazione al sistema sanzionatorio.

La chiarezza e trasparenza delle regole disciplinari

Il Considerando 78 del GDPR stabilisce che il titolare del trattamento, al fine di poter dimostrare la conformità dei propri trattamenti, dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi di privacy by design e by default.

Tra gli strumenti a disposizione, i provvedimenti disciplinari rappresentano una misura di controllo critica per assicurare che dette politiche siano rispettate. Tuttavia, va tenuto ben presente che, secondo quanto stabilito dalla Corte costituzionale[2], lo sviluppo di uno specifico procedimento è un essenziale presupposto delle sanzioni disciplinari. Di conseguenza, affinché queste misure siano efficaci, le regole procedurali devono essere ben comprese e correttamente applicate dagli autorizzati al trattamento dei dati personali.

Pertanto, oltre a ricevere una puntuale nomina di “autorizzato al trattamento”, il personale dipendente chiamato a trattare dati personali, deve essere anche debitamente informato non solo sulle procedure da seguire ma anche sulle sanzioni previste in caso di mancato rispetto delle politiche aziendali.

È fondamentale che ogni membro dell’organizzazione, in particolare chi ha accesso ai dati personali, sia pienamente consapevole delle conseguenze derivanti da eventuali inadempienze.

Gli autorizzati, dal canto loro, hanno il dovere di segnalare al proprio superiore gerarchico o alle funzioni competenti eventuali carenze o lacune rilevate, affinché il titolare del trattamento possa intervenire tempestivamente.

Qualora un lavoratore dipendente o un autorizzato non rispetti le regole stabilite, le sanzioni disciplinari saranno irrogate dall’ufficio Risorse Umane, che ne conserverà una copia nella documentazione del soggetto sanzionato. È essenziale che le persone direttamente coinvolte siano informate delle sanzioni, nel rispetto della protezione dei dati personali del soggetto interessato.

Nel caso in cui le sanzioni riguardino soggetti diversi dai dipendenti, come collaboratori esterni o membri del Consiglio di Amministrazione, purché nel ruolo di “designati” / “autorizzati”, tali provvedimenti dovranno essere formulati dal soggetto a cui risponde l’autorizzato inadempiente.

Il ruolo del DPO

Il Data Protection Officer gioca un ruolo centrale nell’assicurare che il sistema sanzionatorio sia noto e coerente con la normativa privacy. Tra le sue responsabilità vi è quella di condurre audit regolari sui trattamenti di dati personali all’interno dell’organizzazione, inclusa la valutazione dell’efficacia del sistema sanzionatorio.

Questi audit consentono di individuare eventuali carenze o incoerenze e di apportare le modifiche necessarie per migliorare la conformità.

Il DPO non solo deve verificare se le sanzioni previste siano state applicate in caso di violazioni, ma anche valutare se queste siano state efficaci nel prevenire ulteriori infrazioni.

Un aspetto fondamentale del suo ruolo è assicurare l’esistenza di canali di comunicazione chiari e accessibili, attraverso i quali i dipendenti possano segnalare dubbi o incertezze riguardo all’applicazione delle norme sulla privacy.

Le sanzioni applicate agli “autorizzati,” indipendentemente dal ruolo rivestito, devono essere comunicate al DPO. Questi, una volta informato, potrà fornire indicazioni sulle misure correttive da adottare per intervenire tempestivamente e, per quanto possibile, prevenire il ripetersi di tali episodi.

Il costante monitoraggio da parte del DPO è quindi fondamentale per garantire la compliance e migliorare l’efficacia complessiva delle politiche aziendali in materia di protezione dei dati.

Nel caso in cui una sanzione riguardasse la violazione di una procedura nel perimetro delle misure previste dal D.lgs. 231/2001 i flussi prevederanno l’informazione verso l’OdV. Per violazione relative ai reati informatici dovranno essere informati sia ODV sia DPO.

Il DPO può, altresì, assumere l’impegno di archiviare copia della documentazione, probabile oggetto di controllo in sede di verifica ispettiva da parte dell’Autorità Garante. Questo compito ha lo scopo di dimostrare che l’Organizzazione ha effettivamente esercitato un controllo adeguato sulla gestione dei dati personali, in conformità con la normativa vigente.

Necessaria informazione e formazione degli autorizzati

Le sanzioni devono essere applicate a coloro che non rispettano le regole stabilite[3]. Tuttavia, affinché tali sanzioni siano legittime, è necessario che gli autorizzati:

  1. siano a conoscenza delle regole che devono applicare e che queste siano applicabili in modo continuativo e in ogni circostanza;

  2. abbiano ricevuto una formazione adeguata riguardo all’applicazione delle regole stesse;

  3. abbiano la possibilità di interfacciarsi con un superiore, con il referente privacy o con il DPO nel caso in cui, per qualsiasi ragione, non siano in grado di applicare le regole o si trovino in una situazione non coperta dalle istruzioni ricevute;

  4. siano informati dell’esistenza e del funzionamento del sistema sanzionatorio in atto.

Qualora, nonostante l’organizzazione abbia garantito quanto sopra, il comportamento dell’autorizzato sia difforme dalle indicazioni ricevute e non giustificato da una situazione di emergenza o straordinaria, il datore di lavoro o titolare del trattamento può applicare una sanzione disciplinare nelle forme previste.

Peraltro, le sanzioni non si applicano solo ai dipendenti, ma possono essere estese, nelle modalità più appropriate, anche ad altri soggetti che ricoprono il ruolo di “autorizzato”, ma non sono dipendenti, come liberi professionisti, stagisti, tirocinanti, volontari o membri della direzione dell’organizzazione.

L’entità delle sanzioni deve essere proporzionata:

  1. al livello di rischio cui l’autorizzato espone i dati personali degli interessati o, più in generale, a una violazione dei dati;

  2. alla recidiva del comportamento sanzionabile;

  3. a quanto previsto dal CCNL applicato dall’organizzazione;

  4. ad eventuali integrazioni previste dal sistema sanzionatorio aziendale, come ad esempio quelle riportate nel Codice Etico.

Il sistema sanzionatorio come esercizio del controllo

Le sanzioni, se correttamente applicate, rappresentano uno dei pochi modi, a disposizione del Titolare, per poter dimostrare l’effettivo esercizio del “controllo” in capo allo stesso Titolare o a soggetti da lui delegati.

Attraverso la sanzione, l’organizzazione può, infatti, dimostrare di tenere sotto controllo e monitorare lo stato di applicazione delle regole che ha definito a seguito dell’analisi dei rischi.

Con ciò non si intende affermare che “siano necessarie sanzioni a ogni costo”, ma piuttosto ribadire il principio secondo cui “chi viola le regole deve rispondere della propria condotta”. Qualora l’organizzazione adottasse un atteggiamento eccessivamente tollerante nei confronti delle violazioni, questo potrebbe costituire un punto di debolezza per l’intero sistema.

Cerchiamo di dimostrarlo con un esempio pratico.

Supponiamo il caso di un dipendente che infrange ripetutamente le norme aziendali, ad esempio scaricando file di intrattenimento (come musica e film) sui dispositivi aziendali o su propri dispositivi personali, attraverso l’utilizzo della rete interna, nonostante sia stata vietata tale attività dall’organizzazione.

Dopo essere stato richiamato, verbalmente – ma non formalmente – dall’azienda, lo stesso dipendente potrebbe sentirsi in qualche modo “autorizzato” a continuare questa pratica vietata e potenzialmente pericolosa, oltre che in contrasto con i precetti della normativa sul diritto d’autore.

Se questa condotta reiterata portasse a una violazione della sicurezza del sistema, si potrebbe legittimamente chiedere perché il dipendente non sia stato sanzionato con misure più severe fin dall’inizio. In tal caso, il Titolare non avrebbe una giustificazione valida per non aver adottato provvedimenti più rigorosi già al primo episodio.

In sintesi, spetta al Titolare assicurarsi che l’autorizzato sia pienamente consapevole “delle misure che deve adottare e delle ragioni per cui deve farlo”.

Esempi concreti di condizioni per applicare una sanzione

A titolo esemplificativo, dovrà essere sanzionato l’autorizzato che:

  1. si è connesso a una rete esterna non autorizzata, come ad esempio quella di un locale pubblico;

  2. ha consentito l’accesso al dispositivo aziendale a un familiare;

  3. ha lasciato incustodita e non ha archiviato correttamente la documentazione cartacea affidatagli, in violazione delle istruzioni ricevute;

  4. non ha distrutto la documentazione cartacea tramite l’uso del distruggi documenti come richiesto dalle procedure aziendali;

  5. ha consentito l’esercizio di un diritto da parte di un interessato senza prima verificare la legittimità della richiesta.

In tutti questi casi, il mancato rispetto delle regole aziendali o delle procedure previste richiede l’applicazione di una sanzione.

La “mancata” sanzione

In alcuni casi, le sanzioni non possono essere irrogate poiché le istruzioni fornite al personale si sono rivelate inadeguate. Di conseguenza, l’autorizzato, forse ingenuamente, superficialmente o in modo incauto, ha adottato una modalità operativa che a lui sembrava corretta.

In tali circostanze, non sussistono i presupposti per sanzionare il collaboratore, poiché Egli non aveva ricevuto istruzioni sufficienti ed esaustive.

Tuttavia, è possibile cogliere proattivamente l’occasione per colmare le lacune emerse, essendo consapevoli che una formazione, per quanto accurata, non può coprire il 100% dei casi possibili.

È il caso ad esempio di Alice, dipendente di un Istituto di lingue, che è stata incaricata di accompagnare un gruppo di giovanissimi studenti per un soggiorno studio all’estero. Durante la permanenza scatta alcune fotografie dei ragazzini e le pubblica sul profilo Facebook personale, utilizzando un proprio dispositivo. Alcuni genitori, vedendo le immagini sul profilo pubblico di Alice, si lamentano, poiché non avevano autorizzato la pubblicazione delle foto dei loro figli.

Il regolamento fornito dall’Istituto ad Alice, nel ruolo di “autorizzata”, non contiene indicazioni specifiche riguardanti la pubblicazione di immagini degli studenti, né fa alcun riferimento alla possibilità di utilizzare i profili social personali dei collaboratori per tale scopo.

Inoltre, Alice non ha mai ricevuto una formazione specifica sulle modalità di trattamento delle immagini.

Quindi, sebbene ella abbia agito in modo superficiale, gli errori sono imputabili all’Istituto che dovrà rivedere i suoi regolamenti e migliorare la formazione degli accompagnatori e, più in generale, degli “autorizzati”.

Solo dopo che tali azioni correttive saranno state implementate, un comportamento come quello di Alice potrebbe essere soggetto a sanzione.

Il procedimento disciplinare come “trigger” del miglioramento delle politiche interne

Inoltre, un Titolare, anche con il supporto proattivo del DPO, dovrebbe comunque sempre interrogarsi sulle motivazioni che hanno spinto un collaboratore ad adottare un comportamento tale da attivare un procedimento disciplinare. È fondamentale valutare se tale comportamento sia stato esclusivamente frutto di imprudenza, o se, nonostante la completezza delle istruzioni fornite, queste ultime possano essere migliorate.

Un esempio può chiarire meglio questo particolare scenario.

La società BETA ha predisposto istruzioni e regolamenti destinati agli “autorizzati”. Si tratta di un impianto documentale completo ma al contempo complesso e ridonante. Per quanto le stesse siano state fornite ad ogni “autorizzato”, un collaboratore, poco attento potrebbe tenere un comportamento astrattamente sanzionabile determinato dalla difficoltà nel rintracciare, in un contesto poco organico, le informazioni a lui necessarie per adempiere correttamente i compiti a lui affidati.

In un caso simile, il DPO potrebbe suggerire di riorganizzare le istruzioni e i regolamenti in un unico documento, da revisionare almeno una volta l’anno o in presenza di modifiche significative, con l’obiettivo di rendere più agevole la comprensione e l’applicazione delle regole. Questo approccio favorirebbe una maggiore chiarezza e una riduzione degli errori, prevenendo comportamenti sanzionabili dovuti a confusione o difficoltà interpretative.

L’audit sul sistema disciplinare

Il DPO, o chiunque sia incaricato di condurre audit in ambito di protezione dei dati personali, dovrebbe considerare l’opportunità di effettuare verifiche sulla documentazione relativa ai provvedimenti disciplinari, verificando:

  1. che il registro e l’informativa per i soggetti potenzialmente oggetto di segnalazione includano questo trattamento, e che tali documenti contengano informazioni coerenti e congruenti;

  2. i tempi di conservazione della documentazione relativa alle sanzioni, considerando che in alcuni casi, come per le violazioni delle normative sulla salute e sicurezza sul lavoro, tali documenti potrebbero risultare utili anche a distanza di anni per dimostrare che il datore di lavoro ha agito correttamente richiamando il lavoratore inadempiente;

  3. le modalità di conservazione dei documenti e l’identificazione dei soggetti autorizzati ad accedervi;

  4. le modalità di distruzione della documentazione, soprattutto quando è in formato cartaceo;

  5. la conoscenza dell’apparato sanzionatorio da parte di tutti i collaboratori;

  6. che le sanzioni rilevanti siano state trasmesse all’Organismo di Vigilanza (ODV) e/o al DPO in relazione ai flussi informativi.

In questo contesto, così come in tutti gli altri ambiti di audit, è fondamentale mantenere la riservatezza.

L’auditor dovrà garantire che la formulazione di eventuali rilievi o osservazioni non permetta in alcun modo di identificare le persone coinvolte, sia attraverso i documenti di audit che nelle check-list, proteggendo così la privacy dei soggetti campionati e sanzionati.

Conclusioni

Si è cercato di mettere in luce come l’implementazione di un sistema sanzionatorio efficace, integrato nelle politiche interne del titolare del trattamento, rappresenti un compito complesso, ricco di sfumature e che richiede la collaborazione di tutta l’organizzazione.

Dal DPO agli autorizzati, ogni soggetto ha un ruolo specifico e fondamentale nel garantire la protezione dei dati personali.

Chiarezza, trasparenza e coerenza nelle politiche e nelle sanzioni sono elementi essenziali per creare un ambiente in cui la protezione dei dati sia percepita e rispettata come un valore fondamentale.

La trasparenza del sistema sanzionatorio è essenziale per assicurare il rispetto delle regole. I dipendenti, così come tutti gli autorizzati, devono essere informati in modo chiaro e dettagliato su quali comportamenti costituiscano violazioni disciplinari e quali sanzioni possano essere applicate.

Questo non solo aiuta a prevenire violazioni rilevanti, ma contribuisce anche a instaurare un ambiente di lavoro fondato sulla fiducia e sulla responsabilità reciproca, favorendo una cultura organizzativa in cui la protezione dei dati personali è parte integrante delle pratiche quotidiane.

News ripresa da CYBERSECURITY360