Il diritto di accesso ai dati personali: non rispondere alla richiesta può costare davvero caro. – Avvocato Manuela Calautti avvocato del foro di Locri, abilitazione all'esercizio della professione forense rilasciata dall'Italia

La vicenda.

Tizio, ex lavoratore di una S.r.l. dedita all’attività di trasporti, dopo aver rassegnato le proprie dimissioni ed aver così interrotto il rapporto di lavoro, presenta istanza di accesso ai propri dati personali detenuti dalla società.

In particolare, Tizio chiede di conoscere i dati contenuti nei c.d. fogli di registrazione e nei tabulati estratti dal cronotachigrafo, nonché i dati scaricati dalla carta del conducente relativa ai viaggi da lui effettuati.

Tizio formula la sua istanza di accesso a mezzo p.e.c., ma non riceve alcuna risposta dalla S.r.l. ex datrice di lavoro.

In seguito alla mancata risposta, l’Autorità Garante, nell’esercizio dei propri poteri, ha chiesto alla S.r.l. di esibire la documentazione richiesta, senza ricevere alcun riscontro in merito.

Seguiva, quindi, l’accertamento ispettivo da parte del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza nei confronti della S.r.l., al fine di acquisire le informazioni richieste da Tizio.

La difesa.

Nel difendersi, la S.r.l. afferma che Tizio si serviva esclusivamente di un automezzo con disco orario cartaceo e sul veicolo da lui utilizzato è comunque installato un sistema disco cronotachigrafo in modalità cartacea DDT, perciò non ha avuto in uso automezzi con sistema automatizzato.

La S.r.l. evidenzia inoltre che Tizio, dopo aver rassegnato le proprie dimissioni, avrebbe dovuto depositare i dischi del cronotachigrafo, ma lo stesso si è rifiutato di restituirli sino al saldo delle proprie spettanze lavorative.

Purtroppo, a seguito del crollo del ponte Morandi di Genova, la S.r.l. non ha potuto provvedere a saldare il proprio debito nei confronti dell’ex lavoratore, a causa di un forte calo di lavoro; conseguentemente, non avendo ricevuto le residue somme dovute dalla S.r.l., Tizio non ha mai restituito i dischi del cronotachigrafo.

La S.r.l. ha comunque fornito una risposta verbale a Tizio in merito alla richiesta di accesso ai propri dati personali, rappresentando le suddette circostanze.

La S.r.l. non ha risposto alla richiesta formulata dall’Autorità Garante per mera dimenticanza.

La S.r.l. ha comunque agito in assoluta buona fede, e nel riconoscere la propria negligenza richiede l’applicazione del minimo edittale della sanzione.

La normativa.

Non è stato fornito nessun testo alternativo per questa immagine

Art. 12 GDPR

1 Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni relative ai dati personali e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato

omissis

3 Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

Art. 15 GDPR

1 L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

omissis

Art. 157 Codice Privacy

1. Nell’ambito dei poteri di cui all’articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.

L’immagine contenuta nell’illustrazione paragrafo è tratta da Freepik ed è riconducibile all’autore freepik <a href=”https://it.freepik.com/vettori/affari”>Affari vettore creata da freepik – it.freepik.com</a>

La decisione dell’Autorità Garante.

Il trattamento dei dati personali effettuato dalla S.r.l. attraverso l’omesso riscontro all’istanza di accesso presentata da Tizio, ex dipendente, nonché l’omesso riscontro alla richiesta di informazioni formulata dall’Autorità Garante, risulta illecito per violazione degli artt. 12 e 15 del GDPR e dell’art. 157 del Codice Privacy.

La S.r.l. non ha negato di aver violato la normativa, omettendo di rispondere sia a Tizio che all’Autorità Garante.

E’ sostanzialmente irrilevante il fatto che la S.r.l. abbia risposto “verbalmente” a Tizio in merito alle proprie richieste, poiché il GDPR specifica che la risposta verbale è ammessa solo se il richiedente ne fa specifica richiesta, altrimenti bisogna riscontrare l’istanza per iscritto o, se del caso, con mezzi elettronici; non è stata comunque fornita alcuna prova della risposta “verbale” formulata a Tizio.

La S.r.l. ha inoltre commesso un’ulteriore grave violazione, cioè la mancata risposta alla richiesta di informazioni formulata dall’Autorità Garante.

La sanzione.

Ai sensi dell’art. 83 del Regolamento, tenuto conto dei principi di effettività, proporzionalità e dissuasività nella determinazione dell’ammontare della sanzione, l’Autorità ha deciso di applicare alla S.r.l. la sanzione amministrativa del pagamento di una somma pari a euro 3.000,00 (tremila).

L’Autorità ha inoltre disposto la pubblicazione del provvedimento sul sito web del garante (il testo integrale è disponibile al seguente link.

Conclusioni.

La S.r.l., in persona del suo legale rappresentante, a mio parere ha peccato di superficialità ritenendo sufficiente rispondere verbalmente alla richiesta di accesso ai dati personali formulata da Tizio, non ritenendo importante una domanda del genere.

Molto probabilmente, sempre a mio parere, non vi è stata una formazione in materia di privacy né per i titolari della S.r.l. né per i dipendenti, altrimenti avrebbero immediatamente risposto ad una richiesta come quella formulata da Tizio, anche semplicemente rappresentando le stesse circostanze che poi sono state evidenziate davanti all’Autorità.

Ritengo gravissima la mancata risposta alla richiesta dell’Autorità Garante: è segno che la cultura della privacy nel nostro paese è ancora latente, e che il cittadino o l’impresa non ritengono addirittura degno di riscontro un qualunque invito formulato dall’Autorità, non percependo la gravità dei propri comportamenti (spesso messi in atto in buona fede) né l’entità delle possibili conseguenze.

In fondo, due semplici p.e.c. avrebbero fatto risparmiare ben 3.000,00 euro alla S.r.l.

In un momento di congiuntura economica come quello che stiamo vivendo, aggiungendo che la Società aveva già subito una grossa contrazione del fatturato a seguito del crollo del ponte Morandi, non è certo cosa di poco conto.

Oltre al danno economico, si aggiunge la beffa derivante dal fatto che, a ben vedere, Tizio non ha mai restituito i dischi del cronotachigrafo alla S.r.l.: anche il miglior consulente o avvocato non riuscirà mai a far capire al proprio cliente che, pur essendo altrettanto “sbagliato” il comportamento di Tizio, a pagare deve essere solo la Società ex datrice di lavoro.

L	M	M	G	V	S	D
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

La vicenda.

La difesa.

La normativa.

La decisione dell’Autorità Garante.

La sanzione.

Conclusioni.

Potrebbe anche piacerti

Nasce in Italia l’Agenzia per la cybersecurity nazionale!

Diritto all’oblio e ritiro dal commercio di un libro

Sei arrabbiato con qualcuno? Stai lontano dalla tastiera, potrebbe costarti caro.