Il GDPR obbliga il titolare del trattamento dei dati personali a fornire ai propri dipendenti, quando vengono autorizzati al trattamento, apposite istruzioni rispetto alle modalità con le quali devono essere eseguite le operazioni. Si tratta, quindi, di redigere, diffondere e spiegare apposite policy aziendali che spieghino quali sono le operazioni consentite e come eseguirle.
L’esperienza mi ha insegnato che, nell’ambito delle policy, è opportuno indicare anche i reati informatici previsti dal nostro Codice Penale. Questo affinché i dipendenti siano consapevoli delle conseguenze delle loro azioni sia dal punto di vista della privacy sia da quello penale.
Una conferma della bontà di questa scelta viene dalla sentenza 565/2019 della Quinta Sezione Penale della Corte di Cassazione. È stato condannato (per le sole conseguenze civili visto che il reato era prescritto) il dipendente A che aveva indotto il suo collega B ad estrarre, dal sistema informativo della banca dove lavoravano, un insieme di informazioni riguardanti un cliente ed a mandargliele. Il dipendente A non poteva accedere ai dati del cliente e, quindi, li ha fatti estrarre dal dipendente B che, invece, era autorizzato a consultarli. Entrambi, in concorso, sono stati condannati per accesso abusivo ad un sistema informatico o telematico (615 ter del Codice Penale) perché, anche se B era autorizzato all’accesso ai dati, la consultazione effettuata per conto del dipendente A non rientrava nei suoi compiti istituzionali ed era stato effettuato violando le regole aziendali.
È la prima volta che la Cassazione si esprime per questo reato perpetrato in ambito privato. In passato, le condanne avevano riguardato dipendenti di organizzazioni pubbliche.
Contro l’abusivismo, sempre! Perché i doveri di lealtà e fedeltà vengono in rilievo sia in ambito pubblico sia in ambito privato.