M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Il Garante delle Privacy prende posizione sul ritardo o l’assenza di riscontro a istanze di accesso ai dati di dipendenti o ex dipendenti

Con provvedimento del 16 novembre 2023, il Garante della privacy ha irrogato una sanzione di 40 mila euro a una società per non aver dato tempestivo e motivato riscontro alle richieste di accesso ai propri dati personali di alcuni dipendenti ed ex dipendenti.

Nel caso in esame, il Garante è intervenuto a seguito di un reclamo di un ex dipendente della società, il quale ha lamentato l’assenza di riscontro della società alla richiesta di ottenere copia dei documenti relativi al rapporto di lavoro intercorso.

La società si è difesa sostenendo che il mancato riscontro entro i termini previsti dall’art. 12 par. 3 GDPR (ossia entro un mese dal ricevimento della richiesta) fosse dovuto principalmente a due fattori:

  1. la richiesta di accesso ai dati sarebbe stata redatta in maniera molto ampia e generica;
  2. la necessità di effettuare valutazioni interne circa la possibilità di negare l’accesso ai dati per ragioni di difesa, ai sensi dell’art. 23 GDPR, atteso che la maggior parte delle richieste era connessa ad una successiva impugnazione del licenziamento.

Innanzi a tali motivazioni, però, l’Autorità si è mostrata ferma nella propria linea, ritenendo che l’interessato ha sempre diritto di ricevere, entro il termine di trenta giorni, un riscontro in merito alla propria richiesta, sia esso di diniego o di differimento.

Con riferimento alla genericità dell’istanza, il Garante ricorda che le Linee Guida sul diritto di accesso, approvate dall’EDPB il 28.03.2023 chiariscono che “un responsabile del trattamento che tratta una grande quantità di informazioni relative all’interessato può chiedere all’interessato di specificare le informazioni o il trattamento cui di riferisce la richiesta prima che le informazioni siano fornite”.

Pertanto, la società, entro il termine di un mese, avrebbe dovuto chiedere agli interessati di meglio specificare le informazioni o il trattamento di cui alla richiesta di accesso presentata.

In forza del principio enunciato dal Garante, poi, si ritiene sussista altresì un obbligo in capo al titolare del trattamento di informare l’interessato che abbia presentato idonea richiesta, di eventuali differimenti dovuti al completamento di valutazioni interne volte a ricercare la sussistenza di esimenti, quali ad esempio il diritto di difesa.

Ad ogni modo, il titolare non può in nessun modo evitare di fornire alcun genere di riscontro all’interessato, entro il termine di un mese dalla ricezione della richiesta di accesso ai dati.

Le modalità con cui fornire un simile riscontro devono essere attentamente valutate, al fine di impedire che un possibile diniego e differimento con riferimento alla richiesta di accesso ai dati possano essere anch’essi considerati illegittimi.

Infatti, in caso di diniego, dovranno essere necessariamente ponderate tutte le circostanze del caso, per evitare qualsiasi contestazione di arbitrarietà in una simile decisione. Inoltre, anche una comunicazione di differimento dovrà poggiarsi su argomentazioni concrete, dalle quali emerga una già prima attenta valutazione della richiesta stessa – come ad esempio l’indicazione di meglio specificarne l’oggetto – , secondo uno sviluppo motivazionale che anche in questo caso metta al riparo da possibili contestazioni e che si adatti perfettamente al caso concreto.

Data di pubblicazione
15.01.2024

Iscrizione Newsletter

Share