Nessuna risposta tempestiva alla richiesta, da parte di dipendenti ed ex, di accesso ai propri dati: è il motivo per cui il Garante privacy italiano ha sanzionato Autostrade per l’Italia e Amazon Italia Transport rispettivamente per centomila euro e quarantamila euro.
Alle istanze non era stato dato seguito neppure per negare l’accesso. Queste due vicende permettono di riflettere sull’importanza di garantire agli interessati l’accesso ai propri dati, ribadendo “la centralità che tale diritto riveste nell’impianto normativo per consentire all’interessato di avere il “controllo” sui propri dati”, spiega l’avvocata Anna Catelata, senior partner di P4I. In particolare, questa garanzia deve essere fornita ai dipendenti ed ex, in quanto, come sottolinea l’avvocato Massimo Borgobello, “i dati dei lavoratori seguono un regime particolare e il diritto d’accesso è, per così dire, rafforzato”.
Limitare l’accesso ai dati strettamente necessari: implementiamo il principio del need to know
Il caso di Autostrade per l’Italia
Cinquanta dipendenti hanno presentato reclamo dopo che avevano chiesto ad Autostrade di aver accesso ai propri “fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga stesse senza ottenere alcuna risposta”, spiega il Garante in una nota, aggiungendo che alla richiesta di spiegazioni da parte dell’autorità la società aveva replicato di non aver risposto ai lavoratori “per non compromettere il proprio diritto di difesa in giudizio. Tra la società e i lavoratori, infatti, erano in corso diversi procedimenti giudiziari riguardanti l’accantonamento e le modalità di calcolo della liquidazione”. Autostrade ha inoltre spiegato al Garante che i dipendenti avrebbero potuto conoscere queste informazioni accedendo per conto loro a una piattaforma informatica dedicata.
Digital Services Act: una panoramica sulle regole che portano i valori europei nel mondo digitale
Secondo il Garante invece “Autostrade avrebbe dovuto comunque rispondere alle istanze dei dipendenti, precisando il motivo del diniego nonché la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria. La società, inoltre, avrebbe dovuto fornire riscontro anche riguardo ai dati già nella disponibilità dei lavoratori, indicando loro la piattaforma informatica attraverso cui accedere alle informazioni richieste”. Così è scattata la sanzione da centomila euro e l’ingiunzione di dare riscontro alle richieste.
Perché il Garante privacy ha multato Amazon
Per quanto riguarda Amazon invece, un ex dipendente aveva sporto reclamo dopo che aveva chiesto copia dei documenti relativi al proprio rapporto di lavoro ma non aveva avuto riscontro. Intervenuto il Garante privacy, la società ha risposto all’autorità “di non aver dato riscontro all’istanza perché redatta in maniera molto ampia e generica. Aveva in seguito inviato copia dei documenti richiesti all’ex dipendente, ma solo dopo l’avvio dell’istruttoria” e in ogni caso circa sei mesi “dopo il termine dei trenta giorni previsto dal Regolamento europeo in materia di privacy.
L’Autorità, ricordando ad Amazon che avrebbe dovuto comunque rispondere tempestivamente all’istanza dell’ex dipendente, eventualmente chiedendo di dettagliare i dati ai quali voleva accedere, ha irrogato alla società una sanzione di quarantamila euro”, spiega il Garante nella sua nota.
Accesso ai dati, perché i provvedimenti del Garante sono importanti
Come spiega Cataleta, questi provvedimenti permettono di approfondire come sia centrale il diritto di accesso ai dati nell’impianto normativo, al fine di garantire agli interessati di avere il controllo sui propri dati personali. Riguardo al provvedimento verso Autostrade, “l’Autorità afferma la necessità di dare una risposta motivata anche in caso di diniego dell’accesso, indicando all’interessato la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria”, spiega Cataleta.
Nel secondo provvedimento, prosegue l’avvocata, “è affermato che un’istanza di accesso formulata in modo ampio e generico non esime dal rispondere tempestivamente all’interessato, eventualmente chiedendo di circostanziare meglio la richiesta. Pertanto, nel caso in cui si ricevano istanze di accesso, occorre valutare con attenzione le richieste e rispondere sempre all’interessato, eventualmente chiedendo di circostanziare meglio l’istanza o motivando il diniego”.
Oltretutto, come ricorda Borgobello, “i provvedimenti del Garante si collocano in piena continuità con i precedenti in materia e con la giurisprudenza della Cassazione sul tema”.
@RIPRODUZIONE RISERVATA