La Corte di Giustizia Europea ha stabilito che i datori di lavoro sono responsabili dei danni alla privacy causati dai propri dipendenti, anche se questi violano istruzioni. Esenzioni sono possibili se il dipendente agisce autonomamente, ma l’azienda deve dimostrarlo.
Nell’ambito della protezione dei dati personali, una recente pronuncia della Corte di Giustizia Europea ha riaffermato la responsabilità del datore di lavoro per i danni “privacy” derivanti da errori commessi dai propri dipendenti, anche se questi ultimi hanno violato le istruzioni ricevute.
La sentenza, emanata il 11 aprile 2024 nella causa C-741/21, riguardava una controversia tra un avvocato tedesco e una società che distribuisce una banca dati giuridica. L’avvocato si era lamentato di continue telefonate ed e-mail commerciali ricevute nonostante avesse revocato il consenso alle comunicazioni di marketing ed aveva quindi avviato un’azione legale invocando l’articolo 82 del Regolamento UE sulla privacy n. 2016/679 (GDPR), sostenendo che la società fosse responsabile dei danni subiti.
La società, invece, aveva difeso la propria posizione sostenendo che l’incidente non fosse imputabile all’azienda, bensì a un dipendente che non aveva seguito le istruzioni impartite.
La questione sollevata dai giudici tedeschi è stata sottoposta alla Corte di Giustizia UE, la quale ha chiarito che il titolare del trattamento non può essere esonerato dalla responsabilità semplicemente rilevando che il danno è stato causato da un errore di un dipendente agente sotto la sua autorità.
Tuttavia, la Corte ha precisato che vi possono essere circostanze in cui il datore di lavoro possa essere esonerato dalla responsabilità se dimostra che il dipendente ha agito in maniera del tutto autonoma e per scopi propri ed individuali. Questo, però, non si applica se l’errore è avvenuto nell’ambito delle mansioni assegnate, poiché il datore di lavoro ha il dovere di vigilare sull’esattezza delle prestazioni.
La sentenza ha inoltre chiarito che il danneggiato deve provare le conseguenze dannose della violazione del GDPR per poter richiedere un risarcimento, e che il giudice, per determinare l’ammontare del risarcimento, non deve applicare i criteri previsti per le sanzioni amministrative, ma deve limitarsi a quantificare il pregiudizio subito, senza infliggere punitivi surplus.
In conclusione, la sentenza sottolinea l’importanza della responsabilità del datore di lavoro nel garantire la protezione dei dati personali e la necessità di un’attenta vigilanza sulle attività svolte dai dipendenti per prevenire violazioni della privacy e conseguenti danni.
DISCLAIMER: Questo articolo fornisce solo informazioni generali e non costituisce consulenza legale di alcun tipo da parte di Macchi di Cellere Gangemi che non si assume alcuna responsabilità per il contenuto e la correttezza della newsletter. L’autore o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento