Ciò perché il datore di lavoro sta comunicando dati a una persona da considerare un terzo estraneo, non autorizzato a conoscerli. Il Garante privacy, con l’ingiunzione n. 243 del 24 aprile 2024, ha irrogato una sanzione di 3 mila euro a un patronato.
L’accertamento
L’ispettorato del lavoro ha scoperto che presso il patronato lavorava un impiegato senza regolare contratto. Il patronato aveva comunicato al centro servizi per l’impiego la cessazione del rapporto di lavoro con la persona, la quale ha, tuttavia, continuato a prestare la propria attività e a gestire le pratiche del patronato e, quindi, a trattare dati anche sensibili degli utenti, disponendo delle password per accedere alle piattaforme Inps e Inail. L’Ispettorato ha segnalato la vicenda al Garante della privacy, che ha aperto un procedimento.
La difesa
Il patronato si è difeso sostenendo che la comunicazione di cessazione del rapporto di lavoro è stata frutto di un errore e che non era stato intimato nessun licenziamento. Il patronato ha anche evidenziato che la persona in questione non era un estraneo, anzi ha sempre continuato a fare parte dell’organizzazione e che allo stesso era stata data anche l’autorizzazione al trattamento dei dati, mai revocata. Il Garante non ha accolto questa ricostruzione dei fatti.
Cosa dice il Garante
Nell’ingiunzione, in commento, si dà rilievo alla comunicazione della cessazione del rapporto di lavoro, da cui il Garante ha dedotto che l’impiegato, da quel momento in avanti, ha continuato la sua attività in maniera irregolare. E in questa situazione, secondo il Garante, all’irregolarità del rapporto di lavoro corrisponde la violazione della privacy. Chi è irregolare, dice il Garante, non fa parte della struttura organizzativa del titolare del trattamento e non ha titolo per trattare i dati personali in qualità di autorizzato al trattamento. Anzi, prosegue il Garante, il lavoratore irregolare è un terzo, al quale i dati sono comunicati indebitamente.
Impatto pratico
La pronuncia ha notevoli impatti pratici, perché significa che chi fa lavorare senza contratto si espone non solo alle sanzioni previste dalla normativa sul lavoro, ma anche alle sanzioni privacy per comunicazione illecite di dati (ai lavoratori irregolari). In proposito, va però considerato che il Gdpr non afferma esplicitamente che l’autorizzazione al trattamento è subordinata alla validità ed efficacia del rapporto di lavoro con l’autorizzato e che anche i dipendenti irregolari sono soggetti all’autorità del datore di lavoro (anzi forse la loro situazione di soggezione è anche più pesante). Sulla base dei principi espressi nell’ingiunzione, il lavoratore irregolare, che tratta dati, sarebbe un distinto titolare del trattamento: violerebbe in prima persona il Gdpr e andrebbe separatamente sanzionato.
Fonte: Italia Oggi – di Antonio Ciccia Messina
Fonte: FederPrivacy