Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

L’ex dipendente ha diritto a ricevere le valutazioni sulle sue performance

Scarica PDF Stampa Allegati

L’ex dipendente ha diritto a ricevere dall’ex datore di lavoro le valutazioni sulle sue performance anche se è già a conoscenza di tali dati. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy

Garante privacy -Provvedimento n. 245 del 24 aprile 2024

Ingiunzione-garante-a-GSE.pdf 50 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti: l’accesso alle valutazioni


Un ex dipendente di una società che gestisce di servizi energetici presentava un reclamo al Garante per la protezione dei dati personali in cui lamentava di non aver ricevuto riscontro dalla predetta società ad una richiesta di accesso ai propri dati personali relativi alla valutazione delle sue performance che erano stati trattati nell’ambito del rapporto di lavoro dalla società medesima.
In particolare, il reclamante sosteneva di aver richiesto, tramite PEC dell’ottobre 2021, alla propria ex datrice di lavoro il suo fascicolo personale di valutazione della performance relativo agli anni 2019 e 2020 e di non aver ricevuto alcun riscontro, anche dopo un primo sollecito inviato anche all’ufficio risorse umane. Il reclamante sosteneva di aver inviato la stessa istanza, nel marzo 2022, al responsabile della protezione dati della società e di aver ricevuto nel mese successivo un riscontro in cui detto soggetto confermava che l’ufficio risorse umane aveva preso in carico la richiesta e e che gli avrebbero fornito riscontro.
Nel settembre 2022, infine, il reclamante, non avendo ricevuto il riscontro promesso, inviava il reclamo al Garante chiedendo di ingiungere alla società l’invio dei dati personali richiesti.
L’Ufficio invitava quindi la società a fornire le proprie difese sugli addebiti mossi e la società confermava di aver ricevuto la richiesta di accesso ai dati relativi alla performance del reclamante, ma che le prime due richieste non erano transitate presso la casella di posta elettronica o la PEC del responsabile per la protezione dati che era l’ufficio preposto a gestire tale tipo di istanze (bensì presso l’ufficio risorse umane). La società confermava altresì che nel marzo 2022 il reclamante aveva inviato per la prima volta la richiesta di accesso ai dati al responsabile per la protezione dati dell’azienda e che quest’ultimo, entro i termini di legge (cioè 30 giorni), aveva attivato i competenti uffici della società che erano in possesso della documentazione richiesta dal reclamante. Infine, la società confermava che la documentazione richiesta era stata inviata al reclamante nel settembre 2022 (ma dopo la presentazione del reclamo), senza che la società avesse consapevolezza del reclamo.
In secondo luogo, la società sosteneva che le informazioni contenute nel fascicolo personale di valutazione delle performance per gli anni 2019 e 2020 erano già a conoscenza dell’ex dipendente, in quanto li aveva già ricevuti nell’ambito dell’apposito colloquio che aveva svolto in costanza del rapporto di lavoro. Per approfondimenti sul trattamento dei dati consigliamo il volume Formulario commentato della privacy    

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

60.80 €

Scopri di più

2. La valutazione del Garante


Preliminarmente, il Garante per la protezione dei dati personali ha ricordato che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali, nonché che, in caso sia in corso un trattamento, il titolare del trattamento deve fornire una copia dei dati personali oggetto di trattamento senza ingiustificato ritardo e comunque non oltre 30 giorni dalla ricezione della richiesta (termine prorogabile di 2 mesi qualora la richieste siano complesse o numerose). Anche nel caso in cui il titolare non possa dare seguito alla richiesta dell’interessato o necessiti di una proroga (come sopra indicata), il titolare deve comunque informare l’interessato di tali decisioni entro 30 giorni dal ricevimento della richiesta, illustrando i motivi alla base del rifiuto o della proroga e della possibilità di ricorrere al Garante o all’autorità giudiziaria.
Dall’istruttoria svolta, è emerso che, nel caso di specie, la società abbia omesso di fornire all’interessato la risposta alle plurime richieste di accesso ai propri dati ed abbia invece trasmesso dette informazioni soltanto dopo undici mesi dalla prima richiesta e dopo aver appreso che il reclamante aveva presentato un reclamo al Garante privacy (seppure prima dell’avvio del procedimento).
Secondo il Garante, la circostanza che le prime due istanze non siano stati veicolati alla società presso la casella di posta elettronica, né presso la PEC del responsabile della protezione dei dati, che erano state istituite appositamente per detto tipo di istanze, non può far venir meno la responsabilità della società per l’omessa risposta: ciò sia perché non risulta che il reclamante fosse stato informato che le richieste di accesso andavano veicolate al Responsabile della protezione dei dati, sia perché il riscontro che è stato comunque fornito nel settembre 2022 è stato fornito proprio dal destinatario delle prime due istanze di accesso (cioè il responsabile delle Risorse umane della Società), il quale dunque risulta essere soggetto competente in relazione a tale tipologia di istanze.
A tal proposito, infatti, secondo la normativa privacy il titolare del trattamento non può richiedere che l’interessato adotti uno specifico formato per esercitare il proprio diritto di accesso ai dati, né specifici requisiti nella scelta di un canale piuttosto che un altro attraverso cui entrare in contatto con il titolare.
In secondo luogo, il Garante ha precisato che l’istanza di accesso ai dati personali può ben essere presentata anche in relazione a dati posti già nella disponibilità dell’interessato o a questi già consegnati o comunque conosciuti dall’interessato.
Infatti, la normativa privacy non prevede alcuna limitazione in ordine alle informazioni riferite all’interessato che possono essere oggetto di accesso ed anzi prevede espressamente la possibilità che l’interessato presenti più richieste di accesso. Tra l’altro, anche per la giurisprudenza della Corte di Cassazione il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, in quanto lo scopo del diritto di accesso è quello di garantire all’interessato di verificare l’avvenuto inserimento, la permanenza o la rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato medesimo.
Potrebbe interessarti anche: Dipendente licenziato accede a dati personali dei clienti: titolare viola la privacy

3. La decisione del Garante


In considerazione di tutto quanto sopra, il Garante ha ritenuto che il ritardo da parte della società di fornire all’interessato i dati richiesti relativi alla valutazione delle sue performance durante il rapporto di lavoro sostanzia una violazione del diritto di accesso ai dati riconosciuto all’interessato dalla normativa privacy.
Conseguentemente, il Garante ha ritenuto opportuno sanzionare la società con l’irrogazione di una sanzione amministrativa pecuniaria (non essendo necessaria l’ingiunzione alla consegna dei dati, posto che questi erano già stati inviati all’interessato prima dell’inizio del procedimento). Per quanto concerne la quantificazione della sanzione, il Garante, tenuto conto della gravità della condotta e la rilevanza della sua durata nonché le condizioni economiche della società e la misura delle sanzioni irrogate in casi analoghi, ha quantificato la sanzione in €. 30.000 (trentamila).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Pubblicazione atti intermedi e dati dei membri della commissione nei concorsi
Luca Iadecola 26/09/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Datore di lavoro intima di somministrarsi il vaccino: viola la privacy
Pier Paolo Muià 26/09/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
diritto europeo e internazionale
Resilienza dei soggetti critici, il d.lgs. n. 134 in G.U.
laura biarella 24/09/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Diritto all’oblio: provvedimento per deindicizzazione a Google
Pier Paolo Muià 24/09/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;