La controversia nasce da una lavoratrice che, impiegata come caposquadra portalettere, impugnava il provvedimento di sospensione dal servizio e dalla retribuzione emesso dalla sua azienda a seguito del suo rifiuto di sottoscrivere l’atto di designazione a incaricato del trattamento dati personali. La lavoratrice riteneva che l’accettazione dell’incarico comportasse delle responsabilità non in linea con le sue mansioni e, di conseguenza, rifiutava di firmare il documento, richiedendo altresì un diverso incarico lavorativo.
L’azienda, in risposta, riteneva la firma dell’atto necessaria per garantire la conformità alle normative sul trattamento dei dati personali e, non ricevendo la collaborazione della lavoratrice, la sospendeva dal servizio. Nel frattempo, si avviava anche un procedimento disciplinare.
La lavoratrice ha presentato una richiesta cautelare per la sospensione del provvedimento, chiedendo la riammissione al lavoro. Tuttavia, il Tribunale ha rigettato la sua richiesta, ritenendo che non vi fossero i presupposti del fumus boni iuris e del periculum in mora. La mancata firma della designazione, secondo il Giudice, legittimava l’azienda a sospendere la lavoratrice, in quanto la mancata accettazione di tali responsabilità rendeva impossibile l’esecuzione delle prestazioni lavorative.
Questa sentenza è significativa per la gestione del trattamento dei dati personali in ambito lavorativo. La decisione del Giudice ribadisce il ruolo cruciale del rispetto delle normative GDPR anche nel contesto del rapporto di lavoro. La mancata accettazione della designazione di incaricato del trattamento dati è vista come una violazione degli obblighi contrattuali e dei doveri di lealtà verso l’azienda, giustificando così la sospensione dal lavoro.
Inoltre, il Giudice sottolinea che il datore di lavoro è obbligato non solo a garantire il rispetto della normativa, ma anche a dimostrare tale conformità in qualsiasi momento. Il rifiuto della lavoratrice di sottoscrivere l’atto la pone in una posizione non compatibile con le sue funzioni lavorative, e la società non è obbligata a trovare altre mansioni che evitino il trattamento di dati personali.
Evidenziamo i seguenti passaggi del provvedimento:
Nondimeno, gli artt. 29 e 32 co.4° del Reg. UE n. 2016/679 impongono al Titolare di formare adeguatamente ed aggiornare i propri designati al trattamento, stabilendo che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.
In forza di ciò, dunque, la società convenuta: – deve garantire che i dati delle persone fisiche trattati dai propri incaricati/designati avvenga nel rispetto degli obblighi di legge; – allo scopo deve formare adeguatamente i propri designati al trattamento e tenere aggiornata tale formazione; – risponde direttamente e a ogni effetto verso le persone fisiche i cui dati personali siano stati trattati illegittimamente dai propri incaricati; – deve adottare misure organizzative che le consentano altresì di “dimostrare” che questi ultimi trattino i dati personali altrui in modo legittimo.