È obbligatoria la cancellazione dei dati personali dal sito internet aziendale al termine del rapporto di lavoro L’omesso riscontro alla richiesta di accesso e di cancellazione dei personali del prestatore è illegittimo.
Nota a Provv. GPDP 26 febbraio 2026, n. 121
Fabrizio Girolami
Il Garante per la privacy – con il provvedimento n. 121 del 26.2.2026 – ha ingiunto a una società a responsabilità limitata semplificata (s.r.l.s.) operante nel settore farmaceutico il pagamento di una sanzione amministrativa pecuniaria (Euro 3.000) per “illecito trattamento di dati personali”, consistente nel mancato riscontro all’esercizio del diritto di “accesso” e del diritto di “cancellazione” dei dati personali trattati dalla società nell’ambito del rapporto di lavoro (caratterizzato da un fisiologico “squilibrio tra il titolare e gli interessati”), in violazione degli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 30.6.2003, n. 196 e s.m.i.
La vicenda trae origine dal reclamo presentato da una lavoratrice la quale, alla cessazione del proprio rapporto di lavoro, aveva invitato la società (rimasta inadempiente) a trasmetterle copia del contratto di collaborazione e a cancellare – dal sito internet aziendale – i propri dati personali (foto, numero di cellulare e indirizzo e-mail aziendale). La società si era difesa rappresentando che il contratto di collaborazione era costituito da un modulo prestampato standard, mentre l’omessa immediata cancellazione dei dati personali dal sito era dipesa da un processo di riorganizzazione interno.
A conclusione del procedimento, il Garante ha osservato quanto segue:
- secondo la disciplina in materia, il GDPR indica i principi generali applicabili al trattamento dei dati personali, in particolare il principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) e di esattezza, par. 1, lett. d);
- in materia di esercizio dei diritti da parte dell’interessato, il GDPR stabilisce che “l’interessato ha il diritto […] di ottenere l’accesso ai dati personali” (art. 15, par. 1) nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento” (art. 15, cit., par. 3);
- in base all’art. 17 del GDPR, l’interessato “ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali” qualora ricorrano determinati motivi (tra i quali “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”, oppure “l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2”);
- l’omesso riscontro all’istanza di accesso da parte della società (che la società aveva motivato con il fatto che il contratto di collaborazione era già nella disponibilità della lavoratrice) non è conforme alle prescrizioni della normativa vigente, in quanto “l’art. 15 del Regolamento non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso” e lo stesso Regolamento, peraltro, prevede espressamente la possibilità che l’interessato “presenti più richieste di accesso” (salva la possibilità “per il titolare del trattamento, in caso di richieste “eccessive, in particolare per il loro carattere ripetitivo” di addebitare un contributo spese ragionevole; art. 12, par. 5, del Regolamento”);
- lo stesso GPDP, con specifico riguardo al diritto di accesso ai dati personali, in relazione ad alcuni casi concreti, ha costantemente affermato che “tale diritto può ben essere esercitato nei confronti di dati che siano già nella disponibilità degli interessati” (Provv. GPDP n. 571 dell’11 settembre 2025, in www.garanteprivacy.it, doc. web n. 10183903);
- la condotta della società è pertanto avvenuta in violazione dell’art. 15 GDPR; la stessa ha inoltre agito in violazione dell’art. 12 del GDPR, quanto alle modalità con le quali il riscontro avrebbe dovuto essere fornito all’interessata, posto che, ai sensi della suddetta disposizione, il titolare del trattamento deve fornire riscontro alle richieste dell’interessato “senza ritardo” e comunque “entro un mese dalla richiesta” (art. 12, par. 3);
- la condotta della società è altresì violativa del “principio generale di correttezza” stabilito dall’art. 5, par. 1, lett. a) del GDPR che costituisce “uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro”;
- allo stesso modo va considerata inadempiente la società datrice la quale, dopo la cessazione del rapporto di lavoro con la collaboratrice, non abbia provveduto, a fronte di specifica richiesta, a cancellare i dati personali riconducibili alla collaboratrice medesima dal sito internet aziendale;
- tale condotta costituisce violazione dell’art. 17 del GDPR, in forza del quale l’interessato ha il diritto di ottenere la cancellazione dei dati che lo riguardano “senza ingiustificato ritardo” e, correlativamente, il titolare ha l’obbligo di cancellare i dati “senza ingiustificato ritardo”;
- anche relativamente al diritto di cancellazione di cui all’art. 17 GDPR, vale quanto rappresentato, in ordine all’art. 12, par. 4, GDPR, in relazione all’esercizio del diritto di accesso, secondo cui, il titolare del trattamento, se non ottempera alla richiesta di accesso o di cancellazione, come nel caso di specie, indica “senza ritardo” all’interessato i motivi dell’inottemperanza e la possibilità di presentare reclamo all’autorità di controllo e di proporre ricorso giurisdizionale;
- in definitiva, il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso e di cancellazione riferite ai dati personali della lavoratrice risulta illecito;
- la violazione non può essere considerata “minore”, tenuto conto “della natura delle plurime violazioni accertate” che hanno riguardato “i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti”.
In applicazione dei suesposti principi, il GPDP ha emesso ordinanza-ingiunzione nei confronti della società (e disposto la pubblicazione della medesima ordinanza sul proprio sito) per non avere la stessa fornito alcun riscontro alla richiesta di “accesso” della collaboratrice nell’arco di circa 6 mesi e per aver, inoltre, mantenuto sul proprio sito internet aziendale foto, numero di cellulare e indirizzo e-mail aziendale per almeno 1 mese dopo la richiesta di “cancellazione”.
Provv. GPDP 26 febbraio 2026, n. 121