Accesso dati: diritto anche se l’interessato li conosce già

Allegati

Il diritto di accesso ai dati trattati dal titolare sussiste anche se l’interessato già è a conoscenza e dispone di tali dati.
Per approfondire si consiglia il volume: I ricorsi al Garante della privacy

Garante Privacy -provvedimento n. 55 del 02-03-2023

GarantePrivacy-9873272-1.0.pdf 53 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti


Una reclamante lamentava al Garante per la protezione dei dati personali che la società sua ex datrice di lavoro aveva compiuto un trattamento illecito dei suoi dati personali, in quanto aveva condiviso sul server aziendale il documento di valutazione della reclamante e in quanto aveva riscontrato in maniera tardiva, generica e incompleta la sua richiesta di accesso ai dati personali, la cui risposta inoltre era stata inviata ad un account generale dello studio legale del suo avvocato (anziché all’indirizzo email dell’avvocato stesso).
A fronte della richiesta di chiarimenti del Garante e poi di invio di scritti difensivi, la società sosteneva che:

  • La reclamante aveva lavorato, in prova, coma store manager presso uno dei negozi della società e il documento di valutazione della stessa era stato effettuato dalla supervisor in un file excel specifico, condiviso solo con la stessa reclamante ed alla medesima esposto mediante un colloquio orale che si era appositamente svolto tra i due soggetti;
  • Detto documento di valutazione era stato conservato sul computer in uso alla supervisor, protetto da nome utente e password personali, e memorizzato solo nella casella di posta elettronica della supervisor, anch’essa protetta da nome utente e password personali;
  • Pertanto si poteva escludere che il documento di valutazione della reclamante fosse stato caricato sul software gestionale aziendale o comunque nel computer in uso presso il punto vendita in questione o comunque fosse stato portato a conoscenza di terzi;
  • Per quanto concerne la tardività del riscontro alla richiesta di accesso ai dati, la società aveva risposto tempestivamente (come documentalmente dimostrato dall’invio delle email), ma – poiché la casella PEC dell’avvocato della reclamante – non era abilitata alla ricezione delle email ordinarie, tali email di risposta non erano state ricevute dal destinatario e conseguentemente era stato necessario inviare un ulteriore email, successiva al termine previsto per il riscontro, e ad una email ordinaria generale dello studio legale dell’avvocato che era contenuta nella carta intestata della richiesta di accesso ai dati;
  • La risposta inviata era completa di tutte le informazioni richieste dalla interessata, anche in considerazione del fatto che la stessa, al momento in cui aveva fatto la richiesta di accesso ai dati, già disponeva del documento di valutazione in questione e conosceva quindi in maniera chiara e completa tutti i dati contenuti nel documento e dalla medesima richiesti (mentre non vi erano ulteriori dati trattati dalla società, attinenti alla valutazione della reclamante). 

Potrebbero interessarti anche:

2. Le valutazioni del Garante


Dall’istruttoria svolta, è quindi emerso che la società non ha fornito alla reclamante la copia dei dati che la riguardavano, contenuti nel documento di valutazione, nonostante fosse stato espressamente richiesto dalla stessa nell’istanza di accesso.
Il Garante ha evidenziato che il diritto di accesso ai dati non è un semplice diritto a conoscere eventuali nuovi e ulteriori dati che sono trattati dal titolare rispetto a quelli che l’interessato già conosce. Infatti, la finalità del diritto di accesso è quella di permettere all’interessato di verificare in ogni momento l’inserimento dei suoi dati personali, la possibilità di mantenimento degli stessi e eventualmente la loro rimozione, in modo che possa essere tutelata la dignità e la riservatezza dell’interessato stesso. Pertanto, la verifica da parte dell’interessato ai dati raccolti sulla propria persona può avvenire in ogni e qualsiasi momento, indipendentemente dal fatto che egli già conosca tali dati.
Sul punto, il Garante ha altresì ricordato che, secondo la giurisprudenza di legittimità, la richiesta del lavoratore di accedere al proprio fascicolo personale costituisce un diritto soggettivo tutelabile in quanto tale che trae la sua fonte dal rapporto di lavoro. Il suddetto diritto deriva, ancora prima che dalla normativa in materia di protezione dei dati personali, dal rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c.: pertanto, il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale.
Nel caso di specie, la società non ha inviato alla reclamante la copia dei dati richiesti.
La difesa della società per cui i dati in questione erano contenuti nel documento di valutazione che era stato esposto analiticamente alla stessa reclamante dalla supervisor durante un colloquio orale non è sufficiente a provare che sono stati forniti i dati richiesti con l’istanza di accesso.
Infatti, i riscontri del titolare del trattamento all’interessato devono essere forniti per iscritto o con altri mezzi (anche elettronici) e, soltanto qualora venga richiesto dall’interessato, le informazioni possono essere fornite oralmente. Soltanto nel caso in cui la richiesta di accesso sia infondata o eccessiva il titolare del trattamento può rifiutare di fornire riscontro alla richiesta. Tuttavia, secondo il Garante, nel caso di specie non è stata fornita alcuna prova a riguardo.

3. La decisione del Garante


In considerazione di quanto sopra, il Garante ha ritenuto che il fatto che la società non abbia fornito alla reclamante le informazioni richieste, contenute nel documento di valutazione della medesima, configuri una violazione dei principi generali in materia di trattamento dei dati personali.
Invece, il Garante non ha ritenuto configurata una violazione per quanto concerne la tempestività del riscontro e le modalità di invio della risposta. Infatti, è stato accertato che la risposta è stata inviata tempestivamente dal responsabile per la protezione dei dati della società (anche se non ricevuta tempestivamente dal legale della reclamante). Inoltre, non è emerso dall’istruttoria che il documento in questione sia stato condiviso sul server aziendale.
In considerazione di tutto quanto sopra nonché del numero ridotto di interessati coinvolti (soltanto uno) e dell’assenza di precedenti violazioni pertinenti a carico della società, il Garante ha ritenuto di poter qualificare il caso come una violazione minore. Conseguentemente, il Garante ha ritenuto sufficiente ammonire il titolare del trattamento, per aver fornito un riscontro non idoneo all’istanza di accesso ai dati personali che era stata presentata dalla reclamante.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento