Con un recente provvedimento, il Garante per la protezione dei dati personali ha sanzionato con una ammenda (per violazione degli articoli 5, 12 e 15 del GDPR) una impresa, per la errata gestione da parte della medesima della richiesta di accesso rivoltagli da un ex dipendente impegnato nella procedura di reclamo avverso il suo licenziamento per giusta causa (procedura di reclamo, nel contesto della quale l’ex dipendente era venuto a conoscenza per la prima volta della esistenza di una relazione investigativa commissionata dall’ex datore di lavoro allo scopo di sostanziare gli addebiti che ne avevano giustificato il licenziamento).
I punti salienti del provvedimento del Garante privacy
Il provvedimento del Garante (n. 9927300 del 6 luglio 2023), pubblicato nel sito web istituzionale, è interessante perché consente a coloro che hanno dei dipendenti di gestire correttamente le richieste di accesso ai loro dati personali, svolte ai sensi dell’art. 15 del GDPR, evitando ammende che posso anche essere di rilevante entità.
Vediamo dunque di analizzare il provvedimento così da espungerne i principi rilevanti per la corretta gestione delle domande di accesso provenienti dai dipendenti, ma anche dai più svariati titolari dei dati.
Come anticipato, il Garante ha ritenuto che l’impresa, nel gestire l’istanza di accesso ai dati personali dell’ex dipendente, abbia violato gli articoli 5, 12 e 15 del GDPR.
La veste formale della richiesta d’accesso ai dati personali
Alla luce di ciò, il primo aspetto da sottolineare riguarda la veste formale della richiesta d’accesso: essa non è vincolata ad una particolare forma, o ad un particolare mezzo di comunicazione; e tantomeno è qualificabile come tale solo se richiama espressamente l’articolo 15 del GDPR (che appunto disciplina l’esercizio del diritto di accesso ai dati personali da parte dei loro titolari).
In altri termini, anche laddove, come capita spesso, il titolare del trattamento (nel caso di specie datore di lavoro) abbia predisposto un indirizzo di posta elettronica ad hoc per la gestione delle richieste di accesso ai dati (e per l’esercizio degli altri diritti garantiti alle persone fisiche dal GDPR), le richieste d’accesso saranno ricevibili e qualificabili come tali anche se indirizzate a recapiti mail differenti, o per PEC, o per raccomandata tradizionale, e per giunta, senza richiamare l’articolo 15 del GDPR come copertura giuridica.
L’oggetto della richiesta di accesso
In secondo luogo, l’oggetto della richiesta di accesso, affinché essa sia ricevibile, non deve essere specifico (con riferimento ai documenti coinvolti per esempio).
Ai sensi dell’articolo 15 del GDPR, pertanto, l’istanza di accesso ha di per sé sempre ad oggetto tutti i dati conferiti dal dipendente (o da altra persona fisica), e tutte le informazioni relative al trattamento ed ai dati, per il caso che essi non siano stati raccolti presso l’interessato che ne è titolare.
L’istanza di accesso è irricevibile per genericità, solo ed esclusivamente quando da essa discenda l’incomprensibilità della richiesta.
Le modalità di risposta alla richiesta di accesso
In terzo luogo, le modalità di risposta alla richiesta di accesso devono essere ispirate al principio di correttezza posto dall’art. 5.1.a del GDPR ed ai principi posti dall’art. 12 del GDPR; e così:
- il titolare del trattamento deve agevolare in ogni modo l’esercizio dei diritti degli interessati, tra i quali, appunto, il diritto di accesso ai dati personali;
- le informazioni richieste devono essere fornite con modalità e contenuti che le rendano concise, trasparenti ed intellegibili;
- dette informazioni, inoltre devono essere fornite senza ingiustificato ritardo, comunque entro 1 mese dalla richiesta (ed ove tale tempistica non venga rispettata, vi può essere una proroga di non più di 2 mesi, ma il titolare del trattamento deve comunicare formalmente il motivo del ritardo e la proroga, entro 1 mese dalla richiesta di accesso originaria);
- se il titolare del trattamento ritiene di non ottemperare alla richiesta, deve informarne il richiedente entro un mese dal ricevimento della stessa, specificando che in ragione di ciò l’interessato ha diritto di interporre reclamo davanti al Garante o ricorso in sede giurisdizionale.
Le violazioni contestate dal Garante
Vediamo ora come i principi dei quali abbiamo appena finito di parlare sono stati violati dall’imprenditore avverso il quale è stato indirizzato il reclamo da parte dell’ex dipendente nel caso di specie:
- il titolare del trattamento aveva eccepito la genericità della richiesta di accesso. Ma essa, al contrario, è stata giudicata sufficientemente circostanziata, dal momento che faceva riferimento a tutti i dati personali acquisiti ai fini del licenziamento per giusta causa;
- il titolare del trattamento nell’ottemperare ultimativamente alla richiesta di accesso non aveva fatto riferimento alcuno al rapporto investigativo;
- il titolare del trattamento non aveva dato alcuna indicazione dell’origine dei dati raccolti non presso l’interessato (appunto mediante indagini investigative); il titolare del trattamento non aveva rispettato i tempi previsti dalle norme nell’assecondare la richiesta di accesso.
Conclusioni
Appare chiaro che, a fronte di una qualsiasi richiesta di accesso ai dati personali da parte degli interessati, il titolare del trattamento non ha alcuna discrezionalità nella selezione dei dati da rendere disponibili, né alcuna discrezionalità nel ritenere la richiesta irricevibile perché inviata mediante canali diversi da quelli messi espressamente a disposizione, oppure ancora considerati inidonei allo scopo.
Considerati gli oneri di tempestività, correttezza, trasparenza e concisione che connotano il rispetto del diritti di accesso da parte dei titolari del trattamento, è evidente che sia quanto mai necessaria una politica che consenta l’addestramento del personale a tale scopo e la predisposizione di procedure idonee.