Il trattamento, illecito secondo la normativa del GDPR, perpetrato dalla società protagonista della controversia (che deteneva diversi uffici e partecipazioni sociali in altre società immobiliari) afferiva, in particolare, ai tempi di conservazione dei dati dei conduttori degli stabili, piuttosto lunghi ed in alcun modo circoscritti, e ciò in violazione dei principi regolatori dell’art. 5 GDPR. Eccepita la propria difesa nei termini citati in epigrafe, l’organizzazione si è dunque rimessa al giudizio della CGUE alla quale è stato richiesto di esprimersi in merito alla veridicità di quanto invocato dalla holding e di precisare se il Garante, per l’applicazione della sanzione, debba sempre dimostrare che l’infrazione venga commessa dall’organizzazione in forza di una condotta dolosa o colposa di un proprio dipendente o se alla stessa possa essere di per sé imputata un’oggettiva violazione. La CGUE, sul punto, ha fugato ogni dubbio chiarendo che può essere inflitta una sanzione ad una persona giuridica (titolare del trattamento) pur non avendo identificato una persona fisica colpevole dell’accaduto. Nello specifico, la responsabilità dell’ente in ambito privacy si definisce come “colpa di organizzazione”, in quanto la violazione e la sua conseguente sanzione è imputata ad un’inosservanza dell’ente nel prevenire gli illeciti mediante le idonee cautele. Anche la CGUE ha volto dunque la sua attenzione sul punto, specificando che le imprese devono avere interesse ad inserire cautele documentali che diano la possibilità di attribuire la responsabilità per violazioni privacy per fatti commessi dai propri collaboratori. Tra le cautele documentali troviamo, ad esempio, le lettere di nomina ad incaricato, le quali autorizzano il dipendente al trattamento dei dati personali secondo certe modalità ed entro certi limiti, e la formazione privacy degli stessi. Tali cautele, come prescritto, devono però essere sempre ben dettagliate e specifiche con riferimento sia alle finalità perseguite (e vietate) che agli strumenti ed alle modalità di utilizzo. In tale contesto, dunque, deve essere ancora pressante nelle aziende la necessità comune di circoscrivere minuziosamente le modalità di accesso ai sistemi informatici, i log access per controllare le attività, così come creare credenziali univoche per ciascun dipendente e fornire un regolamento di utilizzo degli strumenti informatici aziendali. A chiosa di quanto messo a disposizione delle proprie risorse, occorrerà sempre informare i dipendenti circa i trattamenti svolti attraverso la consegna di un’informativa specifica afferente la funzione nella quale sono impiegati. Tutto ciò, come si è visto, non solo a tutela della compliance stessa aziendale in ambito privacy ma soprattutto per prevenire ed eventualmente difendersi in caso di illeciti causati dai singoli dipendenti.
