Accesso ai dati: ogni interessato può fare richiesta

Un dipendente insoddisfatto o licenziato, un candidato a una posizione che non ha gradito il modo in cui la sua richiesta di assunzione è stata rigettata o ancora, un ex collaboratore che li richiede ai fini del computo di indennità. Sono solo alcune delle categorie di soggetti che ben possono proporre una richiesta per ottenere l’accesso ai dati personali di un’azienda per esercitare i loro diritti. Non solo, quindi, il cliente o un utente ordinario sono le categorie ci coloro che possono chiedere di sapere, debitamente e compiutamente, di quali suoi dati un’azienda è in possesso e come li stia trattando e proteggendo. Ulteriore possibile scenario per un Titolare del Trattamento, è la richiesta di ottenerne copia e l’assoluta certezza che siano stati distrutti.

Accesso ai dati: cosa prevede il GDPR

Il GDPR impone ad ogni Titolare del Trattamento di predisporre delle procedure da rispettare rigorosamente nelle ipotesi qui brevemente ricordate e in tutte le altre in cui un interessato voglia sapere i trattamenti cui sono sottoposti i suoi dati personali.

Oltre a non essere pienamente compliant con la normativa, purtroppo, molte aziende non hanno predisposto una adeguata risposta a questa tipologia di richieste che sembra diventino sempre più frequenti da parte dell’utenza. Ne sanno qualcosa adesso un’azienda che aveva risposto alla richiesta di un ex dipendente informandolo che “ha utilizzato e utilizzerà i suoi dati personali solo in conformità alla normativa di legge” ed un’altra che, pur avendo dato riscontro alle richieste di accesso, aveva fornito una risposta non esaustiva e non completa.

In particolare, in quest’ultimo caso, il Garante ha testualmente risposto che “il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza, non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto.”

Si tratta, quest’ultimo caso, di una vicenda peculiare relativa ad un rapporto di lavoro in cui i dipendenti vengono sottoposti ad un particolare monitoraggio mentre la prima riguarda una richiesta di accesso a dati apparentemente ordinari, quali documenti di identità, dei quali l’Interessato non poteva essere a conoscenza dell’uso e del trattamento che ne veniva fatto per gestire il rapporto di lavoro. Non importa. Il Garante ha detto che presunzioni e fatti notori sono irrilevanti.

In entrambi i casi il Garante ha ritenuto illecito il Trattamento Dati e ha applicato il principio sancito anche dalle "Guidelines 01/2022 on data subject rights – Right of access", EDPB, 28 marzo 2023, laddove viene specificato che, in sede di riscontro all’istanza di accesso, il titolare deve adattare, alla specifica condizione dell’interessato, quanto indicato in termini necessariamente generali nell’informativa (o nel registro dei trattamenti).

Alla società che ha risposto in maniera generica, limitandosi a comunicare la liceità del trattamento, è stata comminata una sanzione di quindicimila euro; l’altra di ventimila. Ad entrambe è stato inoltre ingiunto di dare piena e completa esecuzione alle richieste di accesso degli interessati e dare comunicazione all’Authority delle misure adottate in tal senso che, ovviamente, dovranno essere applicate anche in ulteriori analoghe ipotesi.

Si tratta di un forte messaggio alle aziende titolari del Trattamento ed anche a chi dovrà predisporre le procedure al fine di evitare non solo analoghe sanzioni, ma anche di dover rivedere l’intera propria procedura di trattamento dato.

Per approfondire > Le Linee Guida sul diritto di accesso ai dati personali