Rifiuto attestati di formazione all’ex-dipendente: viola privacy

Allegati

Viola la privacy il titolare del trattamento che rifiuta di inviare all’ex dipendente copia degli attestati di formazione. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Garante per la protezione dei dati personali -Provvedimento n. 475 del 12-10-2023

Ingiunzione-a-Societa-trattamento-acque.pdf 50 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. I fatti: il rifiuto degli attestati


Un ex dipendente di una società di trattamento acque aveva inviato un reclamo al Garante per la protezione dei dati personali con cui lamentava di aver formulato una istanza di esercizio del diritto di accesso ai propri dati nei confronti dell’ex datore di lavoro (quale titolare del trattamento) e non aveva ricevuto riscontro da quest’ultimo. In particolare, la richiesta di accesso del reclamante aveva riguardato i dati personali consistenti negli attestati di formazione professionale relativi ai corsi frequentati dallo stesso durante il rapporto di lavoro con la società.
Il Garante provvedeva quindi ad inviare due successive richieste di informazioni alla società ed in considerazione del mancato riscontro, era costretta ad inviare la Guardia di Finanza presso la sede aziendale al fine di acquisire le necessarie informazioni. La Società sosteneva di essere un’azienda con circa 160 dipendenti e un fatturato di euro 25 milioni annui e che aveva ricevuto una prima email da parte del proprio ex dipendente (allorquando lo stesso era ancora dipendente) con l’esercizio del diritto di accesso ai propri dati personali, consistente nella richiesta di avere copia degli attestati di formazione. A tale prima richiesta, la società sosteneva di aver risposto sempre tramite email, rifiutando genericamente l’invio delle copie degli attestati in quanto gli stessi non possono essere rilasciati.
Inoltre, la società riferiva che il reclamante – circa un mese dopo – allorquando si era volontariamente dimesso dal proprio lavoro, aveva nuovamente inviato una email con la richiesta di cui sopra e la società aveva nuovamente rifiutato la richiesta, questa volta oralmente, precisando che gli attestati erano stati cancellati secondo quanto previsto dal regolamento aziendale. A tale ultimo proposito, la società faceva presente che il reclamante aveva sottoscritto il regolamento aziendale prima dell’assunzione e ne aveva ricevuto altresì copia subito dopo l’assunzione e che nel predetto regolamento era previsto che la documentazione fornita e formatasi durante il rapporto di lavoro (ivi compresi gli attestati di formazione) sarebbero stati cancellati dalla società immediatamente dopo la cessazione del rapporto di lavoro. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. La valutazione del Garante


Il Garante ha ritenuto che la società, quale titolare del trattamento, abbia tenuto una condotta non conforme alla normativa in materia di privacy, violando il diritto di accesso ai dati dell’interessato, in quanto non ha fornito un idoneo riscontro alle istanze presentate in tal senso dall’ex dipendente.
A tal proposito, il Garante ha ricordato che il titolare del trattamento deve adottare delle misure appropriate per fornire all’interessato tutte le comunicazioni previste dai diritti che gli sono riconosciuti dalla normativa in materia di privacy. Dette informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Soltanto nel caso in cui sia lo stesso interessato a richiederlo, le informazioni possono essere fornite oralmente, purché sia comprovato con altri mezzi l’identità dell’interessato.
Le informazioni conseguenti all’esercizio dei diritti privacy da parte dell’interessato devono essere fornite dal titolare del trattamento senza ingiustificato ritardo e al massimo entro 30 giorni dal ricevimento della richiesta (con possibilità di prorogare detto termine di ulteriori due mesi in presenza di certe condizioni). Inoltre, nel caso in cui il titolare non adempia alla richiesta dell’interessato, deve comunque entro un mese dalla richiesta, fornire i motivi del diniego e comunicare altresì al richiedente il suo diritto di proporre reclamo all’autorità di controllo o un ricorso giurisdizionale.
In particolare, per quanto riguarda il diritto esercitato dall’ex dipendente nel caso di specie, l’art. 15 del Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali (oltre ad una serie di ulteriori informazioni), nonché di ottenere una copia dei dati in questione.
Nel caso di specie, il Garante ha accertato che il primo riscontro fornito dalla società alla richiesta di accesso ai dati formulata tramite email dall’interessato non può ritenersi conforme alla normativa privacy, in quanto non è stato indicato il motivo dell’impossibilità di consentire l’accesso ai dati richiesti (cioè agli attestati di formazione) e non è stata neanche indicata la possibilità per l’interessato di ricorrere al Garante o di presentare un ricorso giurisdizionale.
Per quanto riguarda la seconda richiesta presentata, sempre per email dall’interessato, il Garante ha accertato la illegittimità della condotta da parte della società, in quanto non ha dimostrato di aver effettivamente dato riscontro alla richiesta e anche qualora il riscontro fosse avvenuto telefonicamente (come dichiarato dalla stessa società), mediante l’indicazione dei motivi del diniego di accesso (cioè in quanto i dati erano stati cancellati subito dopo la fine del rapporto di lavoro), tale riscontro sarebbe comunque inidoneo in quanto fornito tramite la forma orale non richiesta espressamente dall’interessato.
Infine, il Garante ha ritenuto che il diritto di accesso ai propri dati non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa privacy comunicata all’inizio del trattamento. Ciò in quanto il diritto di accesso e il diritto a ricevere l’informativa in ordine al trattamento da effettuarsi sono diritti distinti e non sovrapponibili.

3. La conclusione del Garante


In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati compiuto dalla società fosse illegittimo per non aver dato un idoneo riscontro alla richiesta di acquisizione delle copie degli attestati professionali conseguiti durante il rapporto di lavoro, che era stata formulata dall’interessato ai sensi dell’art. 15 del GDPR.
In considerazione di ciò, il Garante ha ritenuto che tale violazione non potesse considerarsi minore e ha ritenuto necessario comminare una sanzione amministrativa pecuniaria al titolare del trattamento.
Per quanto riguarda la quantificazione della suddetta sanzione, il Garante ha valutato, da un lato la natura e la gravità della violazione (che ha riguardato l’esercizio dei diritti dell’interessato in qualità di dipendente del titolare del trattamento), mentre dall’altro lato ha valutato il fatto che il titolare del trattamento non avesse precedenti violazioni in materia di privacy. Conseguentemente, tenendo conto delle condizioni economiche del titolare (determinate in base ai ricavi da questo conseguiti nell’anno 2022) e dell’entità delle sanzioni irrogate dall’Autorità in casi analoghi, il Garante ha quantificato l’importo in €. 75.000 (settantacinquemila).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento