Il datore deve sempre riscontrare l’istanza di accesso ai dati personali di un ex dipendente. Se l’istanza è generica, il datore deve chiedere di specificare le informazioni richieste.

Nota a Garante per la protezione dei dati personali, ordinanza di ingiunzione 16 novembre 2023, n. 530

Fabrizio Girolami

Il Garante per la privacy, con l’ordinanza ingiunzione 16 novembre 2023, n. 530, ha condannato una società (operante nel settore dei servizi logistici e di approvvigionamento) al pagamento di una sanzione amministrativa pecuniaria di Euro 40.000,00 per non aver dato tempestivo e motivato riscontro (neppure di diniego o di differimento) all’istanza di accesso ai propri dati personali presentata da un ex dipendente della società medesima (dopo la cessazione del rapporto di lavoro) ai sensi dell’art. 15 del Regolamento (UE) 2016/679 (c.d. “Regolamento generale sulla protezione dei dati” o “GDPR”), finalizzata ad acquisire copia dei dati personali e delle informazioni riferiti al proprio rapporto di lavoro.

Alla richiesta di precisazioni inviata dal Garante in ordine a quanto lamentato dall’ex dipendente reclamante, la società aveva risposto di non aver dato riscontro all’istanza di esercizio dei diritti perché redatta in maniera molto ampia e generica.

La medesima società aveva poi trasmesso copia dei documenti richiesti all’ex dipendente, sia pure soltanto dopo l’avvio dell’attività istruttoria del Garante, e in ogni caso quasi 6 mesi dopo il termine legale di 1 mese dal ricevimento della richiesta prescritto dall’art. 12, paragrafo 3, del GDPR (secondo cui “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta (…) senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”).

Il Garante ha evidenziato, a tale riguardo, che le “Linee guida sul diritto di accesso”, approvate dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) in data 28.03.2023, chiariscono che “un responsabile del trattamento che tratta una grande quantità di informazioni relative all’interessato può chiedere (…) di specificare le informazioni o il trattamento cui si riferisce la richiesta prima che le informazioni siano fornite” (par. 2.3.1).

A fronte della dichiarata difficoltà di evadere la richiesta di esercizio dei diritti nei termini previsti dalla normativa, la società non si è avvalsa della facoltà riconosciuta dalla normativa vigente di rivolgere all’interessato le opportune specificazioni.

Inoltre, la società non ha provveduto a informare l’istante dei motivi del ritardato riscontro alla richiesta, violando la disposizione di cui all’art. 12, paragrafo 3, del GDPR, che stabilisce che il termine di 30 giorni “può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste” e che “il titolare del trattamento informa l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.

Pertanto, il Garante ha espresso un giudizio di illiceità del trattamento, con riferimento al mancato e tempestivo riscontro, da parte della società, dell’istanza di accesso ai dati personali presentata dall’ex dipendente, in relazione ai citati artt. 12 e 15 del GDPR e ha applicato alla società medesima la sanzione amministrativa pecuniaria richiamata in epigrafe.

Provvedimento del 16 novembre 2023

Riscontro all’istanza di accesso ai propri dati personali presentata da un ex dipendente
Tag:                                         
%d blogger hanno fatto clic su Mi Piace per questo: