Avv. Silvio Marzari
Avv. Maria Gabriella Maggiora
Avv. Roberto Nicolini
Avv. Stefania Gioco
Avv. Stefania Brugnoli
Avv. Stefano Carrara
Avv. Alessio Albertini

I DATI DEI DIPENDENTI LI DO A TERZI?

 

 

I DATI DEI DIPENDENTI LI DO A TERZI?

 

Nella mia veste di DPO, ovvero di Responsabile Protezione Dati di alcune aziende ed enti, mi vengono formulate spesso domande su cosa si possa o non si possa dare. Proprio in questi giorni mi è stato chiesto se il datore di lavoro poteva, senza il loro consenso, dare i dati personali dei dipendenti a un terzo, per organizzare una trasferta all’estero.

In fondo, qualcuno sosteneva, serve per una cosa attinente al rapporto di lavoro.

 

Meno male che mi hanno chiesto, perché il datore di lavoro può farlo solo se ha ricevuto l’assenso del lavoratore, che deve essere esplicito per quel caso specifico, dato che la trasferta all’estero non è contemplata nelle normali vicende del rapporto di lavoro.

Questo principio è stato ribadito anche dalla Corte di Appello di Palermo con, sentenza del 6 ottobre 2025, n. 1399 che ha dichiarato un Comune, in qualità di titolare del trattamento, è responsabile per la diffusione illecita di dati personali e sensibili di una propria dipendente, anche qualora l'evento sia riconducibile a un errore umano.

 

Quindi anche l’iniziativa del responsabile che nel mio caso stava per comunicare i dati a dei terzi comportava responsabilità per l’azienda.

La Corte di Cassazione, con la sentenza n. 13073/2023, ha stabilito che il titolare del trattamento risponde anche del fatto colposo dei propri dipendenti, in applicazione di un principio generale assimilabile all'art. 2049 c.c. Nel caso specifico, la diffusione di dati "reputazionali" non ostensibili di una dipendente, avvenuta per errore nella pubblicazione di una determina all'albo pretorio online, ha configurato un illecito risarcibile, a nulla rilevando che la causa fosse una mera distrazione.

Questo principio è pienamente allineato con la giurisprudenza europea. La Corte di Giustizia dell'Unione Europea (causa C-741/21, 11 aprile 2024) ha precisato che, ai sensi dell'articolo 82 del GDPR, il titolare del trattamento non può esimersi dalla propria responsabilità semplicemente invocando l'errore di una persona che agisce sotto la sua autorità Per essere esonerato, l'ente deve dimostrare l'assenza di un nesso di causalità tra la violazione dei propri obblighi di protezione dei dati (ex artt. 5, 24 e 32 del GDPR) e il danno subito dall'interessato.

Il lavoratore i cui dati siano stati poi diffuso può avvalersi dell'articolo 82 del GDPR, che riconosce a chiunque subisca un danno, materiale o immateriale, a causa di una violazione del regolamento, il diritto di ottenere il risarcimento del danno dal titolare del trattamento.

Quindi a tutti i datori di lavoro, attenzione, consultatevi sempre con il DPO o con un esperto, prima di prendere decisioni in materia di dati personali!

 

 

ultimo aggiornamento dicembre 2025

Contattaci

Facebook

Facebook

ITALEGAL Società Cooperativa C.F.e P.IVA 04259900233 REA VR-405835
Diritto civile e commerciale; diritto amministrativo; diritto internazionale privato e processuale; rapporti con l’estero
Corso Porta Nuova, 11 - 37122 VERONA - ITALIA - Telefax +39-045-8009958 - info@italegal.eu
Powered by Lugoboni.it 2013 

(c) Italegal 2014 Avvocati Verona - Partite Iva