Un agente di polizia che effettua una ricerca in una banca dati senza motivo ufficiale deve essere considerato un responsabile del trattamento dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR)? Il Tribunale superiore di Stoccarda ha esaminato la questione in dettaglio ed è giunto a una conclusione chiara. Perché un eccesso di dipendenti può essere davvero costoso.
Agente di polizia utilizza il sistema informativo della polizia per scopi privati
L'agente di polizia in questione aveva accesso al sistema informativo della polizia "POLAS" presso la stazione di polizia. Questo sistema viene utilizzato per memorizzare e recuperare dati personali su sospetti, imputati e altre persone rilevanti nell'ambito delle indagini di polizia.
Il 2 marzo 2021, intorno all'1:41, l'agente ha utilizzato il suo computer di lavoro per accedere a informazioni su un collega che in quel momento si trovava in custodia. Nel farlo, l'agente non ha agito per motivi ufficiali, ma per un interesse privato, di cui era consapevole. Secondo le conclusioni del tribunale locale, l'agente aveva specificamente cercato dati personali e penalmente rilevanti del suo collega senza alcuna ragione ufficiale.
L'incidente è stato scoperto dai meccanismi di controllo interni e il dipartimento responsabile ha avviato un'indagine. Di conseguenza, l'agente è stato condannato a una multa di 1.500 euro dal Tribunale distrettuale di Stoccarda per trattamento intenzionale e illecito di dati personali ai sensi dell'art. 83 par. 1, 2, 5 lett. a GDPR. L'agente di polizia ha presentato ricorso contro questa decisione.
Suggerimento di lettura: Rischi per la protezione dei dati del portafoglio clienti
Eccedenza del dipendente: il dipendente come parte responsabile
Il Tribunale regionale superiore di Stoccarda ha affrontato in dettaglio la questione se un agente di polizia che richiede dati senza autorizzazione possa essere considerato un responsabile del trattamento ai sensi del GDPR.
Il tribunale ha innanzitutto stabilito che il funzionario aveva consapevolmente e intenzionalmente effettuato una ricerca in una banca dati che non rientrava nei suoi compiti ufficiali. In questo contesto, l'OLG ha sottolineato che il funzionario aveva oltrepassato i suoi poteri ufficiali e quindi aveva agito al di fuori del suo ruolo professionale. Il funzionario aveva quindi agito al di fuori del controllo ufficiale. La sua indagine non era quindi riconducibile all'area di responsabilità ufficiale della polizia.
Il Senato ha basato la sua decisione sulla cosiddetta "teoria dell'eccesso di dipendenti". Questa descrive che i dipendenti che trattano i dati personali di propria autorità e senza istruzioni sono considerati responsabili autonomi del trattamento ai sensi dell'art. 4 n. 7 del GDPR. Il tribunale ha sottolineato che la responsabilità autonoma in questi casi deriva dal fatto che il dipendente decide le finalità e i mezzi del trattamento con la propria autorità.
Il Tribunale regionale superiore di Stoccarda ha seguito le linee guida del Comitato europeo per la protezione dei dati (EDPB). Queste stabiliscono che i dipendenti sono considerati responsabili del trattamento dei dati se trattano dati personali per scopi privati e senza istruzioni ufficiali.
I giudici hanno respinto l'idea che fosse necessario un regolamento speciale per le aggressioni da parte dei dipendenti e hanno sottolineato che la responsabilità per tali azioni deriva direttamente dal GDPR. L'agente di polizia non poteva nemmeno invocare un'esenzione privilegiata, poiché le sue azioni non erano né attribuibili al datore di lavoro né coperte da istruzioni ufficiali.
L'OLG ha ritenuto la multa di 1.500 euro adeguata e dissuasiva. In particolare, il funzionario aveva agito in modo doloso e deliberatamente noncurante dei suoi doveri. In conclusione, il tribunale ha sottolineato l'importanza di sanzioni coerenti per le violazioni della protezione dei dati al fine di ottenere l'effetto deterrente richiesto dall'art. 83 par. 1 del GDPR.
Multa dopo l'eccesso di dipendenti
La decisione del Tribunale Regionale Superiore di Stoccarda chiarisce che le violazioni della protezione dei dati non devono essere attribuite esclusivamente a un'istituzione o a un'azienda. Esse possono anche comportare una responsabilità individuale da parte dei dipendenti. In particolare, i dipendenti che accedono ai dati personali di propria autorità e senza motivo ufficiale, secondo il tribunale, agiscono sotto la propria responsabilità e possono essere ritenuti direttamente responsabili.
Nella sua decisione, il tribunale ha espressamente confermato la cosiddetta "teoria dell'eccesso di dipendenti". Secondo questa interpretazione giuridica, un dipendente che agisce deliberatamente e intenzionalmente al di fuori dei propri doveri ufficiali non è più vincolato alle istruzioni del proprio datore di lavoro e diventa egli stesso un responsabile del trattamento dei dati ai sensi dell'art. 4 n. 7 del GDPR. In conseguenza di questa classificazione, le persone interessate non solo devono aspettarsi conseguenze disciplinari o di diritto del lavoro in caso di violazioni, ma possono anche essere soggette a sanzioni pecuniarie.
La decisione del Tribunale Regionale Superiore di Stoccarda chiarisce quindi la questione della responsabilità per le violazioni della protezione dei dati da parte di singoli individui e dimostra che le violazioni della protezione dei dati non sono esclusivamente responsabilità dell'organizzazione in quanto ente responsabile. Per le aziende e le autorità pubbliche, ciò significa che devono formare e sensibilizzare i propri dipendenti in modo ancora più intenso in materia di protezione dei dati, poiché l'attribuzione di una cattiva condotta a singoli individui può avere notevoli conseguenze finanziarie e legali.
L'imposizione di una multa di 1.500 euro sottolinea inoltre l'effetto deterrente che le violazioni della protezione dei dati dovrebbero avere anche sui singoli responsabili del trattamento. L'intenzione del GDPR di sanzionare efficacemente i reati in materia di protezione dei dati e di ottenere un effetto deterrente viene quindi attuata in modo coerente.
Raccomandazioni per la pratica
In questo contesto, le organizzazioni dovrebbero prendere in considerazione le seguenti misure:
- Formazione e sensibilizzazione: È essenziale una formazione regolare dei dipendenti sulla legge sulla protezione dei dati e sulle conseguenze di un trattamento illecito dei dati.
- Misure tecniche e organizzative: L'accesso ai database sensibili deve essere strettamente regolamentato e documentato. Le precauzioni tecniche, come i meccanismi di registrazione e i controlli di accesso, possono aiutare a prevenire le interrogazioni non autorizzate dei dati.
- Linee guida e meccanismi di controllo interni: Sono essenziali chiare linee guida interne sul trattamento dei dati e un efficace monitoraggio della conformità a tali requisiti.
La decisione del Tribunale regionale superiore di Stoccarda sottolinea la necessità di sanzioni coerenti per le violazioni della protezione dei dati, al fine di attuare il requisito di sanzioni "efficaci, proporzionate e dissuasive" sancito dall'art. 83 (1) del GDPR.
Fonte: Decisione del Tribunale regionale superiore di Stoccarda del 25 febbraio 2025 (2 ORbs 16 Ss 336/24)
Il nostro consiglio: Ailance™ stabilisce nuovi standard nella gestione integrata del rischio e può essere facilmente personalizzato in base alle esigenze della vostra azienda. Contattateci e vi mostreremo cosa è possibile fare con Ailance™.
☎️ +49 (228) 926165-100
📧 verona@2b-advice.com
Italian 
German 
English 
French