garante privacy

Dati personali: l’importanza di una corretta gestione delle richieste di accesso



Indirizzo copiato

Il recente caso di un’azienda sanzionata dall’Autorità Garante per la protezione dei dati personali offre spunti preziosi sulla corretta gestione delle richieste di accesso ai dati personali. Analizziamo la decisione per estrapolare i principi fondamentali

Pubblicato il 2 nov 2023

Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati



zero trust, Cyber,Security,Internet,And,Networking,Concept.,Information,Security,And,Encryption,
zero trust

Con un recente provvedimento, il Garante per la protezione dei dati personali ha sanzionato con una ammenda (per violazione degli articoli 5, 12 e 15 del GDPR) una impresa, per la errata gestione da parte della medesima della richiesta di accesso rivoltagli da un ex dipendente impegnato nella procedura di reclamo avverso il suo licenziamento per giusta causa (procedura di reclamo, nel contesto della quale l’ex dipendente era venuto a conoscenza per la prima volta della esistenza di una relazione investigativa commissionata dall’ex datore di lavoro allo scopo di sostanziare gli addebiti che ne avevano giustificato il licenziamento).

I punti salienti del provvedimento del Garante privacy

Il provvedimento del Garante (n. 9927300 del 6 luglio 2023), pubblicato nel sito web istituzionale, è interessante perché consente a coloro che hanno dei dipendenti di gestire correttamente le richieste di accesso ai loro dati personali, svolte ai sensi dell’art. 15 del GDPR, evitando ammende che posso anche essere di rilevante entità.

Vediamo dunque di analizzare il provvedimento così da espungerne i principi rilevanti per la corretta gestione delle domande di accesso provenienti dai dipendenti, ma anche dai più svariati titolari dei dati.

Come anticipato, il Garante ha ritenuto che l’impresa, nel gestire l’istanza di accesso ai dati personali dell’ex dipendente, abbia violato gli articoli 5, 12 e 15 del GDPR.

La veste formale della richiesta d’accesso ai dati personali

Alla luce di ciò, il primo aspetto da sottolineare riguarda la veste formale della richiesta d’accesso: essa non è vincolata ad una particolare forma, o ad un particolare mezzo di comunicazione; e tantomeno è qualificabile come tale solo se richiama espressamente l’articolo 15 del GDPR (che appunto disciplina l’esercizio del diritto di accesso ai dati personali da parte dei loro titolari).

In altri termini, anche laddove, come capita spesso, il titolare del trattamento (nel caso di specie datore di lavoro) abbia predisposto un indirizzo di posta elettronica ad hoc per la gestione delle richieste di accesso ai dati (e per l’esercizio degli altri diritti garantiti alle persone fisiche dal GDPR), le richieste d’accesso saranno ricevibili e qualificabili come tali anche se indirizzate a recapiti mail differenti, o per PEC, o per raccomandata tradizionale, e per giunta, senza richiamare l’articolo 15 del GDPR come copertura giuridica.

L’oggetto della richiesta di accesso

In secondo luogo, l’oggetto della richiesta di accesso, affinché essa sia ricevibile, non deve essere specifico (con riferimento ai documenti coinvolti per esempio).

Ai sensi dell’articolo 15 del GDPR, pertanto, l’istanza di accesso ha di per sé sempre ad oggetto tutti i dati conferiti dal dipendente (o da altra persona fisica), e tutte le informazioni relative al trattamento ed ai dati, per il caso che essi non siano stati raccolti presso l’interessato che ne è titolare.

L’istanza di accesso è irricevibile per genericità, solo ed esclusivamente quando da essa discenda l’incomprensibilità della richiesta.

Le modalità di risposta alla richiesta di accesso

In terzo luogo, le modalità di risposta alla richiesta di accesso devono essere ispirate al principio di correttezza posto dall’art. 5.1.a del GDPR ed ai principi posti dall’art. 12 del GDPR; e così:

  • il titolare del trattamento deve agevolare in ogni modo l’esercizio dei diritti degli interessati, tra i quali, appunto, il diritto di accesso ai dati personali;
  • le informazioni richieste devono essere fornite con modalità e contenuti che le rendano concise, trasparenti ed intellegibili;
  • dette informazioni, inoltre devono essere fornite senza ingiustificato ritardo, comunque entro 1 mese dalla richiesta (ed ove tale tempistica non venga rispettata, vi può essere una proroga di non più di 2 mesi, ma il titolare del trattamento deve comunicare formalmente il motivo del ritardo e la proroga, entro 1 mese dalla richiesta di accesso originaria);
  • se il titolare del trattamento ritiene di non ottemperare alla richiesta, deve informarne il richiedente entro un mese dal ricevimento della stessa, specificando che in ragione di ciò l’interessato ha diritto di interporre reclamo davanti al Garante o ricorso in sede giurisdizionale.

Le violazioni contestate dal Garante

Vediamo ora come i principi dei quali abbiamo appena finito di parlare sono stati violati dall’imprenditore avverso il quale è stato indirizzato il reclamo da parte dell’ex dipendente nel caso di specie:

  • il titolare del trattamento aveva eccepito la genericità della richiesta di accesso. Ma essa, al contrario, è stata giudicata sufficientemente circostanziata, dal momento che faceva riferimento a tutti i dati personali acquisiti ai fini del licenziamento per giusta causa;
  • il titolare del trattamento nell’ottemperare ultimativamente alla richiesta di accesso non aveva fatto riferimento alcuno al rapporto investigativo;
  • il titolare del trattamento non aveva dato alcuna indicazione dell’origine dei dati raccolti non presso l’interessato (appunto mediante indagini investigative); il titolare del trattamento non aveva rispettato i tempi previsti dalle norme nell’assecondare la richiesta di accesso.

Conclusioni

Appare chiaro che, a fronte di una qualsiasi richiesta di accesso ai dati personali da parte degli interessati, il titolare del trattamento non ha alcuna discrezionalità nella selezione dei dati da rendere disponibili, né alcuna discrezionalità nel ritenere la richiesta irricevibile perché inviata mediante canali diversi da quelli messi espressamente a disposizione, oppure ancora considerati inidonei allo scopo.

Considerati gli oneri di tempestività, correttezza, trasparenza e concisione che connotano il rispetto del diritti di accesso da parte dei titolari del trattamento, è evidente che sia quanto mai necessaria una politica che consenta l’addestramento del personale a tale scopo e la predisposizione di procedure idonee.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2