DIPENDENTE SBADATO, TITOLARE ESONERATO?
È ragionevole ritenere che per un datore di lavoro la privacy possa creare ansie e timori di vario genere, anche quando ci sono buone ragioni per ritenersi sicuri dei propri mezzi?
La Corte di Giustizia (“CJEU”), nella recente decisione C-741/21, ha fatto double-down e ribadito quanto importante sia da parte del datore di lavoro un approccio sempre vigile sull’operato dei propri dipendenti, anche quando il datore abbia adottato le best practices di settore .
In breve, la vicenda si riferisce ad un avvocato tedesco che, nel 2019, avviava un'azione legale contro una società di distribuzione di banche dati giuridiche, lamentando i continui contatti commerciali ricevuti nonostante avesse revocato il consenso alle comunicazioni marketing. Per questo motivo, l’avvocato richiedeva – ex 82 GDPR – di essere risarcito dalla società per il danno materiale ed immateriale da lui patito.
La società, d’altra parte, si difendeva affermando come l'incidente fosse dovuto al comportamento erroneo di un dipendente che, nell’esercizio delle proprie mansioni, non aveva seguito le istruzioni impartite e, pertanto, sosteneva che nessuna responsabilità fosse imputabile all’azienda.
La questione dal Tribunale del Land (Germania) raggiungeva la CJEU, la cui decisione è ricca di spunti di grande rilievo pratico: la Corte è andata, infatti, a snocciolare l’art. 82, specialmente i commi 1 e 3, oggetto delle questioni pregiudiziali avanzate dal Tribunale.
Anzitutto, con riferimento all' interpretazione del comma 3 dell’art. 82 GDPR, la Corte è molto chiara nello stabilire come “non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità” (punto 66).
La Corte, d’altra parte, ha precisato come esistono circostanze in cui il datore di lavoro può effettivamente ritenersi esonerato da responsabilità, ovvero quando dimostri che il dipendente abbia agito autonomamente e per scopi personali. Tuttavia, tale regola non si applica se l'errore avviene nell'ambito delle mansioni assegnate, avendo il datore di lavoro il dovere di vigilare sul corretto svolgimento delle prestazioni.
Inoltre, all’interno della stessa decisione la Corte fornisce utili chiarimenti anche in merito al primo paragrafo dell’articolo 82 e, nello specifico, sia per quanto attiene alla connessione tra la violazione di una disposizione del Regolamento e la conseguente richiesta di risarcimento, sia al calcolo dell’importo di tale eventuale risarcimento.
Sul primo profilo, la Corte si è espressa stabilendo come la violazione delle disposizioni del GDPR che attribuiscono agli interessati diritti non sia di per sé sufficiente a costituire un “danno immateriale”, indipendentemente dal grado di gravità del danno subito da tale persona, escludendo così l'esistenza di un automatismo risarcitorio.
Il danneggiato è sempre tenuto, infatti, a provare le conseguenze dannose della violazione per poter ottenere il risarcimento.
Consigliati da LinkedIn
Sul tema del calcolo , invece, la sentenza chiarisce come il giudice, quando chiamato a determinare tale importo, debba limitarsi a quantificare il pregiudizio effettivamente patito, evitando di applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83.
In definitiva, quindi, dipendente sbadato = titolare sfortunato.