La sentenza che, va di per sé, ha un forte impatto in Europa e risale allo scorso 13 Maggio, ma è stata resa nota soltanto qualche giorno fa: in breve, il Tribunale amministrativo provinciale di Varsavia ha condannato (anzi, ha ribadito la condanna) una università polacca ad una sanzione pari a 11.000 euro per "non aver implementato le giuste misure per prevenire l'esposizione di dati personali sul laptop di un dipendente". Sentenza che ricalca, pari pari, quanto già espresso in precedenza dal Garante per la Protezione dei dati personali polacco: in caso di furto dati dal pc di un dipendente in smart working, la sanzione viene comminata al datore di lavoro.

La sentenza del Garante Polacco, nel 2020
Nel Novembre 2019, il Presidente del Garante polacco (UODO) ha ricevuto una notifica di violazione dei dati personali degli studenti candidati a studiare presso la Warsaw University of Life Sciences: in dettaglio, la denuncia era relativa al furto del computer privato di un dipendente universitario che utilizzava lo stesso dispositivo anche per finalità lavorative, comprese le attività di reclutamento e trattamento dei dati dei candidati nuovi studenti.

Dopo approfondita indagine, l'ammontare della sanzione è stato calcolato tenendo di conto che la violazione ha riguardato i dati di tutti i candidati agli studi dei 5 anni precedenti e la quantità e tipologia di dati esposti. E' stato tenuto in considerazione anche il fatto che il Titolare del trattamento non avesse consapevolezza del fatto che i dati personali degli studenti fossero trattati anche sul laptop privato del dipendente, ma anche il fatto che il titolare non avesse mai proceduto a verificare tramite quali dispositivi e supporti erano raccolti ed elaborati i dati degli studenti. Si è prefigurata quindi, per il Garante polacco, la violzione dei principi di confidenzialità e accountability specificati nel GDPR.

Infine, è utile notare che c'è stata una violazione anche dei tempi di conservazione dei dati personali: la Warsaw University of Life Sciences dichiara di conservare i dati personali dei candidati agli studi per massimo 3 mesi dopo il completamento del processo di recultamento e iscrizione. Nel caso in oggetto però risultavano presenti i dati dei candidati agli studi di un periodo lungo ben 5 anni. Il Garante ha ravvisato quindi la violazione del principio di limitazione della conservazione dei dati previsto dal GDPR.

Oltre a ciò, nel corso del procedimento, è stato accertato anche che l'Ateneo non aveva implementato misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento dei dati degli studenti candidati, nonostante sia preciso obbligo del Titolare del Trattamento quello di adempiere a tali obblighi secondo il livello di rischio. Anche il mancato coinvolgimento del DPO nel trattamento dei dati dei candidati studenti ha pesato nell'ammontare della sanzione.

Il ricorso dell'Università e la sentenza del Tribunale Amministrativo
La Warsaw University of Life Sciences ha proceduto a ricorrere contro la decisione del Garante: l'Ateneo sosteneva di non essere il titolare del trattamento dei dati salvati sul dispositivo rubato, anche perchè sarebbe stato il dipendente ad agire all'insaputa dell'Ateneo stesso e in violazione delle procedure interne.

La sentenza del Tribunale amministrativo di Varsavia ha però confermato l'intera decisione del Garante polacco, respingendo l'argomentazione che l'Ateneo non fosse responsabile del trattamento dei dati in oggetto. Il Tribunale ha invece riconosciuto come l'Università avesse avuto un ruolo preciso nella vicenda, dato che decide finalità e metodi del trattamento dei dati personali dei candidati agli studi: un dipendente il cui portatile contenente dati personali viene rubato non può essere visto come una entità che ha deciso in maniera indipendente metodi e finalità del trattamento. Al contrario tale dipendente esegue il trattamento proprio perchè è un dipendente di quella università, coinvolto nel processo di reclutamento dei nuovi studenti. Insomma, il dipedente non è e non agisce come una entità giuridica separata. Le sue azioni sono quindi azioni del datore di lavoro, che ne rimane responsabile e tale situazione non è inficiata dal fatto che l'operato del dipendente sia andato oltre le mansioni a lui affidate.

Fonti:
Polish DPA fines Warsaw University of Life Sciences (SGGW)
WSA Warsaw (Poland) - II SA/Wa 2129/20