VIOLAZIONI DELLE REGOLE PRIVACY DA PARTE DEI DIPENDENTI: TUTTI I RISCHI E COME PREVENIRLI

I rischi e le conseguenze che si verificano quando il dipendente, consapevolmente o meno, viola le regole in materia privacy sono un argomento che sta diventando sempre piu’ di attualità, anche grazie alla continua e costante attività di monitoraggio ed intervento dell’autorità Garante. 

Nell’era della digitalizzazione quasi tutte le realtà aziendali trasmettono i loro flussi di informazioni facendo ricorso a sistemi informatici. Ciò può costituire un rischio che la maggior parte delle imprese, di solito medio-piccole, tende a sottovalutare o, peggio ancora, ad ignorare. Tali flussi infatti possono contenere ingentissime quantità di dati, di diversa provenienza, e, spesso, di particolare importanza o sensibilità. Ciò che può accadere ad esempio, è che tali dati possano andare accidentalmente persi in seguito a incidenti informatici di cui l’impresa può essere responsabile. Ma non solo, accanto a questo tipo di problematiche, si fa sempre più attuale un’altra minaccia: i dati possano venire, più o meno fraudolentemente, sottratti dai propri dipendenti, ovvero soggetti che operano all’interno dell’azienda e quindi si trovano in una posizione privilegiata di accesso alle informazioni. 

Negli ultimi anni numerose società hanno condotto ricerche al fine di valutare l’incidenza di tali tipi di rischi per le aziende e i risultati sono pressoché sorprendenti. Ad oggi, infatti, dall’analisi della criminalità informatica emersa da tali studi, si evince che i rischi per le aziende sono da ricercarsi più nei propri dipendenti che non all’esterno. 

Ma quali sono i rischi in concreto e le relative conseguenze che si verificano quando viene posta in essere un’attività illecita sui dati aziendali da parte di uno o piu’ dipendenti? Per quanto riguarda i rischi si possono configurare la sottrazione di dati; la cancellazione di dati; l’utilizzo dei dati illecito rispetto alle finalità previste. Per quanto riguarda le categorie di sanzioni che possono intervenire, anche insieme, in capo al dipendente ma anche eventualmente sul datore di lavoro, a seconda della violazione, si individuano: sanzioni disciplinari, sanzioni sul piano civile, sanzioni sul piano penale. 

Cosa rischia quindi il dipendente, ammesso e non concesso che si riesca a provare la sua colpevolezza, e cosa l’azienda? A tal proposito è necessario distinguere la responsabilità civile da quella penale. Per quanto riguarda l’aspetto penale, in riferimento al dipendente vengono in rilievo gli artt. 167 e 169 del Codice della Privacy, i quali rispettivamente sanzionano il trattamento illecito dei dati e l’omessa adozione di misure necessarie alla sicurezza dei dati. Nel primo caso le pene possono andare da sei a diciotto mesi di reclusione, se dal fatto ne deriva nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella comunicazione o diffusione. Nel secondo caso invece e “chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni”. Il dipendente sarà indubbiamente sottoposto alle sanzioni sopra indicate, nel caso in cui risulti accertata la sua responsabilità. 

Risulterà invece più complesso valutare il titolo di responsabilità dell’azienda. Fermo restando il complesso ambito della responsabilità penale degli enti, la materia è disciplinata, inoltre, dalla legge 547/1993 rubricata “Crimini informatici commessi da dipendenti e addebitabili all’azienda” Il datore di lavoro rischia di essere ritenuto responsabile in concorso con il dipendente a lui subordinato, che ha commesso il crimine informatico, per non aver attuato tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi è considerata difatti un’agevolazione alla commissione del crimine. 

Per quanto attiene invece l’aspetto civilistico il Codice della Privacy qualifica il trattamento dei dati come attività pericolosa. È prevista pertanto un’inversione dell’onere della prova nell’azione risarcitoria, cosa comporta ciò? Che l’azienda è tenuta a fornire la prova di avere applicato le misure tecniche più idonee a garantire la sicurezza dei dati detenuti. A livello pratico questo significa che l’azienda, o il professionista, per evitare ogni responsabilità, devono dimostrare di aver adottato tutte le misure idonee ad evitare il danno, e quindi di aver posto in essere tutte le misure di sicurezza nel miglior modo possibile , prova che si specifica sin da ora essere veramente diabolica da fornire! Inoltre poi, a carico dell’azienda risulterà sempre e comunque applicabile la responsabilità prevista in capo a padroni e committenti per l’operato dei propri dipendenti. 

E’ fatta comunque salva per l’azienda la possibilità di rivalersi sul proprio dipendente, mediante azioni di carattere disciplinare nonché di natura risarcitoria, civile e/o penale a seconda degli estremi integrati dalla condotta del dipendente stesso. 

Tra queste potenziali condotte illecite la piu’ pericolosa è sicuramente quella che integra il trasferimento non autorizzato di informazioni (accidentale o doloso). La maggior parti di tali sottrazioni non avviene come comunemente si può pensare tramite e-mail, ma tramite fotocopiatrici, porte USB, laptop, supporti ottici e furto di proprietà. Secondo il tipo di informazioni perse, poi, i danni possono andare dalla compromissione della reputazione dell’azienda a una riduzione delle entrate o al pagamento di sanzioni amministrative elevate, dovute a multe o azioni legali. I costi possono rapidamente ammontare a milioni di euro. Ma non finisce qui; il fronte delle violazioni della privacy a seguito della sottrazione dei dati mette anche il datore di lavoro con le spalle al muro, potendosi contestare ai suoi danni una condotta di data breach (violazione dei dati personali). Il risultato, per il datore di lavoro, è quello di essere, nel contempo, vittima e reo: vittima del dipendente infedele e reo per non aver saputo arginare una violazione della riservatezza. L’azienda rischia davvero quindi di trovarsi con le spalle al muro, considerando tra l’altro che il valore di una perizia in tali casi potrebbe essere inficiato da una serie di fattori, quali l’impiego non corretto di misure di sorveglianza non autorizzate o l’incorretta conservazione di supporti di memorizzazione dopo la commissione del furto.

Esistono tuttavia delle misure cautelative che possono contrastare efficacemente, o quantomeno ridurre al minimo, l’esposizione alla fuga di dati. Sarà fondamentale l’adozione di una una serie di misure di sicurezza minime da rispettare al fine di non incorrere in pesanti sanzioni penali e civili. Alla luce di ciò sarà fondamentale l’adozione a livello strutturale di un completo ed efficace sistema di protezione, di regole e di misure di sicurezza idonee a garantire la tenuta dei sistemi informatici, le modalità di intervento sulle informazioni aziendali garantendone la loro sicurezza.

E tu sei al corrente dei rischi che corri nella tua attività? Hai un sistema di regole efficaci? Contattaci per una consulenza gratuita