Il Garante Privacy ha comminato una sanzione di 70 mila euro ad un titolare del trattamento per non aver fornito un riscontro completo, intelligibile e facilmente accessibile all’istanza – presentata da un proprio dipendente – di accesso ai dati trattati nell’ambito del rapporto di lavoro. (CLICCA QUI per leggere la pronuncia)

Il caso

Il caso analizzato dal Garante Privacy riguarda una richiesta di accesso ai propri dati personali, avanzata da un dipendente nei confronti del proprio datore di lavoro, che presentava un contenuto estremamente generico: con tale istanza, infatti, il dipendente aveva richiesto l’accesso a qualsiasi tipologia di dato personale, di trattamento e informazione di cui poteva conoscerne i contenuti ai sensi dell’art. 15 del GDPR.

A seguito della ricezione della richiesta di accesso, il datore di lavoro aveva fornito un riscontro meramente interlocutorio (“abbiamo preso in carico la richiesta (…) a cui daremo riscontro nei tempi previsti dall’art. 12 del Regolamento”), accompagnato dalla richiesta rivolta al dipendente – rimasta incompiuta – di compilare e sottoscrivere un modulo predefinito, messo a disposizione sul portale di tale società. Secondo il titolare del trattamento, la compilazione di detto modulo avrebbe avuto la funzione di agevolare l’esercizio dei diritti, permettendo al dipendente, che aveva effettuato una richiesta generica, di indicare con precisione quali informazioni fossero allo stesso necessarie.

Ad ogni modo, la genericità della richiesta di accesso presentata dal dipendente e la mancata compilazione del modulo da parte del medesimo, rappresentavano, a detta del titolare del trattamento, indici di una istanza manifestamente infondata ed eccessiva, tale da ritenere non necessario un riscontro.

Solo a seguito della presentazione del reclamo del dipendente al Garante Privacy e con l’avvio del relativo procedimento amministrativo, la società condannata aveva iniziato a collaborare con tale autorità, fornendo all’interessato un effettivo riscontro, mediante:

  • l’invio di una mole considerevole di documentazione contenente i dati personali oggetto di istanza di accesso; e
  • il rinvio al contenuto dell’informativa generale fornita ai dipendenti per quanto riguarda le informazioni relative al trattamento dei dati richieste dal reclamante ai sensi dell’art. 15 GDPR (e. finalità del trattamento, tempi di conservazione, finalità).

La posizione del Garante Privacy

Con riferimento alla richiesta di compilazione del modulo per l’esercizio dei diritti privacy, il Garante Privacy ha chiarito che “posto che la predisposizione di un modulo potrebbe, in termini generali, costituire una modalità organizzativa volta ad agevolare gli interessati nella presentazione delle istanze, non sarebbe, invece, conforme alla disciplina vigente in materia di protezione dei dati personali condizionare, al previo invio del predetto modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto, e non prendere in considerazione nel merito le istanze presentate in forma libera. Infatti “l’obbligo di compilare un modulo predefinito in aggiunta e indipendentemente dallo specifico contenuto di un’istanza di esercizio di un diritto riconosciuto dall’ordinamento aggrava (anziché facilitare attraverso l’adozione di misure appropriate) l’esercizio del diritto medesimo”.

Per quanto riguarda invece il successivo riscontro fornito dal titolare del trattamento all’interessato, il Garante ha ritenuto che la mole considerevole di documentazione cartacea inviata in copia al reclamante non fosse stata fornita con modalità tali da facilitare l’accesso e la comprensione da parte dell’interessato. Inoltre, il Garante ha affermato che con tale riscontro non erano state comunque fornite le informazioni relative al trattamento dei dati richieste dal dipendente ai sensi dell’art. 15 del GDPR (i.e. le finalità del trattamento, il periodo di conservazione, i destinatari a cui i dati venivano comunicati). A tale proposito il Garante Privacy ha fatto presente che “il diritto, riconosciuto all’interessato, di accedere alle informazioni previste dall’art. 15 del GDPR, non può ritenersi soddisfatto per il solo fatto di aver fornito l’informativa di cui agli artt. 13 e 14 del Regolamento. (…) Il diritto di accesso e il c.d. diritto di informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili”.

A conferma della propria posizione, il Garante ha richiamato le “Guidelines 01/2022 on data subject rights – Right of access”, adottate il 18 gennaio 2022, le quali stabiliscono che “(…) tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all’articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni “su misura” non coincidano con le informazioni “generali””.

Le conclusioni

In tema di protezione dei dati personali, come affermato dal Garante Privacy, “il diritto di accesso è fondamentale in quanto consente all’interessato di esercitare il controllo sui dati personali che lo riguardano ponendosi anche in rapporto di propedeuticità rispetto a possibili ulteriori attività volte a tutelare i propri diritti”. Per tale motivo, “la richiesta di accesso dell’interessato non prevede alcuna limitazione in ordine alle informazioni che possono essere oggetto di accesso, ben potendo darsi l’ipotesi che l’interessato chieda di conoscere proprio l’intero novero di dati trattati dal titolare”.

A fronte della possibilità per l’interessato di presentare una richiesta di accesso così ampia, il titolare del trattamento, dal canto suo, dal momento che è tenuto ad agevolare l’esercizio del diritto di accesso dell’interessato – a prescindere dalla portata della richiesta -, deve fornire informazioni aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. E questo anche quando, come nel caso in analisi, il titolare tratta una notevole quantità di dati personali sia rispetto al singolo interessato che esercita il diritto di accesso, sia, in generale, per la mole dei dati trattati.

È evidente che le società di grandi dimensioni come quella sanzionata necessitino di procedure che agevolino le richieste di esercizio degli interessati, tra cui, soprattutto, il diritto di accesso; tuttavia, tali misure organizzative non possono considerarsi adeguate e conformi  alla normativa privacy se il titolare le impone quali condizioni essenziali per l’esercizio di tale diritto e se non è in grado di garantire, entro i limiti temporali previsti dalla legge, un risconto idoneo a fornire in maniera chiara e trasparente tutte le informazioni richieste dall’interessato nella propria istanza. Come stabilito dal Garante Privacy nel provvedimento in analisi e dalle linee guida dell’EDPB, inoltre, non è sufficiente effettuare un rinvio all’informativa privacy per fornire un riscontro rispetto alla richiesta di conoscere i tipi di trattamenti effettuati, le finalità perseguite o i destinatari di tali informazioni, in quanto tale documento, essendo il più delle volte destinato ad un’intera categoria di soggetti, non è adatto a coprire quei trattamenti specifici effettuati nei confronti del singolo individuo che richiede accesso ai propri dati personali.