Le sanzioni GDPR nel rapporto di lavoro

Di regola, le sanzioni GDPR sono comminate al titolare del trattamento (v. art. 4(1)(7) GDPR) e al responsabile (v. art. 4(1)(8) GDPR), dunque la risposta al quesito deve ritenersi negativa. Tuttavia, non mancano delle eccezioni alla regola generale.

Anzitutto, recentemente la giurisprudenza contabile ha condannato per responsabilità indiretta la Preside dell'istituto scolastico (v. Corte Conti, Sez. Giuris. Lazio, sent. 28 maggio 2019, n. 246) e il Presidente della Regione Calabria (v. Corte dei Conti, sent. 31 ottobre 2019, n. 429) per danno erariale. In entrambe le ipotesi la Corte dei Conti ha ritenuto imputabile ai due dirigenti il danno subito dall'ente per le sanzioni comminate dal Garante privacy a causa dell'omissione gravemente colposa da parte degli stessi nell'adempimento degli obblighi previsti dal GDPR.

A ben vedere, è possibile ipotizzare anche casi di responsabilità diretta se il lavoratore, contravvenendo alle istruzioni ricevute dal datore di lavoro ai sensi dell'art. 29 GDPR e dell'art. 2 quaterdecies Codice Privacy, agisca comportandosi come titolare autonomo (v. Garante Privacy, Ordinanza 15 aprile 2021, n. 9587637 e Provvedimento 15 aprile 2021, n. 9587071).

Infine, non sono escludibili in astratto ipotesi in cui il dipendente sia chiamato a rispondere penalmente ove lo stesso ponga in essere reati privacy per fini personali contravvenendo alle istruzioni fornite dal titolare del trattamento.