Il datore di lavoro paga i danni privacy causati dal dipendente anche se lo ha correttamente istruito sui trattamenti dei dati
Il datore di lavoro risarcisce i danni “privacy” causati da un errore commesso dal proprio dipendente. Anche se è quest’ultimo ad avere violato le (corrette) istruzioni ricevute, ciò non basta a esonerare il datore di lavoro dalle responsabilità.
Così la Corte di Giustizia Ue nella sentenza 11 aprile 2024 nella causa C-741/21, in una vicenda che ha coinvolto un avvocato tedesco e una società che distribuisce una banca dati giuridica.
Il legale, interessato solo a ricevere una newsletter, si è lamentato di telefonate ed e-mail commerciali ricevute anche dopo la revoca dei consensi a comunicazioni di marketing.
L’avvocato ha, quindi, iniziato una causa per ottenere il risarcimento dei danni, invocando l’articolo 82 del Regolamento Ue sulla privacy n. 2016/679 (Gdpr). La società si è difesa riferendo che l’accaduto non era colpa dell’azienda, dal momento che la stessa aveva messo in piedi un efficiente sistema di gestione delle opposizioni di marketing: la responsabilità, ha spiegato la società, sarebbe stata da attribuire esclusivamente a un suo collaboratore, che non aveva rispettato le istruzioni impartite.
Proprio su questo profilo, i giudici tedeschi, investiti della causa, hanno chiesto lumi alla Cgue, che ha dovuto risolvere il quesito se, ai sensi dell’art. 82 Gdpr, un’azienda (titolare del trattamento) possa essere esonerata dalla responsabilità per i danni alla privacy dei clienti, limitandosi a evidenziare, in termini generici, un comportamento colposo da parte di uno dei suoi collaboratori.</s
La risposta della Cgue è stata sfavorevole al datore di lavoro: non è sufficiente, scrive la Corte, che il titolare del trattamento, per essere esonerato dalla sua responsabilità, rilevi che il danno è stato causato dall’errore di una persona che agisce sotto la sua autorità. In caso contrario, sarebbe compromessa la possibilità di ottenere il risarcimento, che il danneggiato tra l’altro dovrebbe chiedere direttamente al dipendente.
Ci possono essere, tuttavia, situazioni in cui il datore di lavoro può distinguere la sua posizione da quella del dipendente e beneficiare dell’esonero di responsabilità, ma è il datore di lavoro stesso a dover provare che il dipendente ha agito in maniera del tutto autonoma e ha perseguito scopi propri ed individuali: ciò, però, non ricorre se il dipendente commette un errore nello svolgimento delle sue mansioni, posto che il datore di lavoro ha il dovere di vigilare sull’esattezza delle prestazioni.
Peraltro, la Cgue chiarisce altri aspetti stavolta con risvolti favorevoli alle imprese: non si possono chiedere danni per la sola violazione del Gdpr (l’interessato deve sempre provare le conseguenze dannose della violazione); per determinare il risarcimento, il giudice non deve applicare i criteri previsti dal Gdpr per le sanzioni amministrative, ma limitarsi a quantificare il pregiudizio, senza surplus punitivi.
Articolo ripreso da FederPrivacy