{"id":18997,"date":"2024-06-12T11:23:24","date_gmt":"2024-06-12T09:23:24","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=18997"},"modified":"2024-11-12T09:30:28","modified_gmt":"2024-11-12T08:30:28","slug":"violato-il-diritto-di-accesso-ai-dati-personali-di-una-ex-dipendente-arriva-la-sanzione-del-garante-privacy","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/violato-il-diritto-di-accesso-ai-dati-personali-di-una-ex-dipendente-arriva-la-sanzione-del-garante-privacy\/","title":{"rendered":"Violato il diritto di accesso ai dati personali di una ex dipendente: arriva la sanzione del garante privacy"},"content":{"rendered":"\n<p>Il Garante per la protezione dei dati personali ha comminato una sanzione pari a 20 mila euro ad una societ\u00e0 e, nello specifico, un istituto bancario, per aver violato gli artt. 12 e 15 del Regolamento UE n. 2016\/679 (di seguito \u201c<strong>GDPR<\/strong>\u201d).<\/p>\n\n\n\n<p><em><u>La vicenda e l\u2019istruttoria avviata del Garante<\/u><\/em><\/p>\n\n\n\n<p>L\u2019ex dipendente di un istituto di credito ha formulato una richiesta di accesso ai propri dati personali, ai sensi dell\u2019art. 15 del GDPR, al fine di ottenere l\u2019accesso e la copia dei dati contenuti nel proprio fascicolo personale, cos\u00ec da conoscere, in modo dettagliato, tutte le informazioni che la riguardavano e che avevano comportato l\u2019irrogazione di una sanzione disciplinare nei suoi confronti.<\/p>\n\n\n\n<p>Ricevuta la richiesta, l\u2019istituto bancario ha unicamente provveduto a comunicare ed elencare all\u2019ex dipendente, tra l\u2019altro in modo incompleto, la corrispondenza intercorsa tra le parti e relativa al menzionato procedimento disciplinare, senza per\u00f2 fornire le ulteriori informazioni in base alle quali \u00e8 stata irrogata la sanzione disciplinare.<\/p>\n\n\n\n<p>In considerazione di ci\u00f2 e ritenendo che la risposta fornita dall\u2019istituto bancario non potesse ritenersi idonea e soddisfacente, la reclamante ha presentato formale reclamo al Garante.<\/p>\n\n\n\n<p>Appreso del reclamo e avviata la sua fase istruttoria, l\u2019istituto di credito ha immediatamente provveduto alla trasmissione all\u2019ex dipendente dell\u2019ulteriore documentazione contenuta nel suo fascicolo e, nello specifico, della corrispondenza intrattenuta dalla banca con un terzo che lamentava l\u2019illecita comunicazione di informazioni riservate di un correntista, fratello della reclamante, e il loro utilizzo da parte di quest\u2019ultima nel contesto di un procedimento giudiziario.<\/p>\n\n\n\n<p>Questa successiva comunicazione di informazioni \u00e8 stata giustificata dall\u2019istituto di credito nel seguente modo:<\/p>\n\n\n\n<ul>\n<li>la mancata iniziale comunicazione di tutta la documentazione era derivata dalla volont\u00e0 di proteggere il diritto di difesa e di riservatezza del terzo coinvolto. Motivazione, questa, che non era, tuttavia, stata resa nota alla reclamante;<\/li>\n\n\n\n<li>il diritto di accesso dovrebbe riguardare i soli dati personali, nonch\u00e9 le sole informazioni previste dal par. 1 dell\u2019art. 15 GDPR e non anche i documenti che li contengono oppure quelli aventi ad oggetto informazioni riferite a vicende e soggetti terzi, dovendo essere limitato al fine di tutelare i diritti e le libert\u00e0 altrui, come il diritto di difesa della banca stessa.<\/li>\n<\/ul>\n\n\n\n<p><em><u>Le osservazioni del Garante<\/u><\/em><\/p>\n\n\n\n<p>All\u2019esito dell\u2019istruttoria, il Garante ha svolto una serie di osservazioni di carattere generale e di cui i titolari del trattamento, destinatari di una richiesta di accesso ai dati, devono sicuramente tenere conto.<\/p>\n\n\n\n<p>Vediamole brevemente.<\/p>\n\n\n\n<ol type=\"1\">\n<li><strong>Non rendere noti i motivi della mancata consegna e comunicazione della documentazione<\/strong>, oggetto di specifica richiesta da parte dell\u2019interessato che esercita il proprio diritto di accesso, <strong>non \u00e8 conforme al GDPR. <\/strong>L\u2019art. 12 par. 4 del GDPR prevede, infatti, che qualora il titolare del trattamento non ottemperi alla richiesta dell\u2019interessato, debba informarlo, al pi\u00f9 tardi entro un mese dal ricevimento della richiesta, dei motivi dell\u2019inottemperanza e della possibilit\u00e0 di proporre un reclamo al Garante e un ricorso giurisdizionale.<\/li>\n\n\n\n<li>Il <strong>diritto di accesso<\/strong> <strong>non pu\u00f2 essere negato o limitato <\/strong>a seconda del motivo della richiesta. Il testo del GDPR non impone agli interessati di indicare un motivo o le particolari esigenze che giustifichino l\u2019istanza di accesso ai dati e, dal canto suo, il titolare del trattamento non pu\u00f2 nemmeno chiedere che vengano a lui comunicati tali motivi. Ci\u00f2 viene, peraltro, precisato anche dalle Linee guida sul diritto di accesso emanate dal Comitato europeo per la protezione dei dati (di seguito \u201c<strong>EDPB<\/strong>\u201d) ed \u00e8 quanto risulta dal costante orientamento giurisprudenziale della Corte di Giustizia.<\/li>\n<\/ol>\n\n\n\n<p>Pertanto, la richiesta di <strong>accedere a tutti i dati contenuti nel proprio fascicolo personale,<\/strong> <strong>anche se sottesi ad un procedimento disciplinare,<\/strong> <strong>\u00e8 del tutto lecita <\/strong>e la sua evasione non pu\u00f2 essere subordinata al verificarsi di certe condizioni o al perseguimento di obiettivi specifici (peraltro non previsti dal legislatore).<\/p>\n\n\n\n<ul>\n<li>I <strong>titolari del trattamento<\/strong> devono <strong>dare riscontro<\/strong> alle istanze degli interessati connesse al loro rapporto di lavoro &#8211; e, quindi, relative a dati ed informazioni contenute nel fascicolo personale &#8211; <strong>anche quando si tratta di informazioni legate a procedimenti disciplinari<\/strong>. Il diritto di accesso, infatti, deriva, oltre che dalla normativa privacy, anche dal rispetto dei principi di buona fede e correttezza, come confermato dal fatto che \u201c<em>da tempo, la contrattazione collettiva del settore in oggetto prevede che l&#8217;azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall&#8217;ente o dallo stesso dipendente, che attengono al percorso professionale, all&#8217;attivit\u00e0 svolta ed ai fatti pi\u00f9 significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale\u201d<\/em>.<\/li>\n\n\n\n<li>Nell\u2019ambito del principio di <em>accountability<\/em><strong> spetta al titolare del trattamento<\/strong> il compito di <strong>individuare la forma pi\u00f9 completa ed esauriente<\/strong> con cui rispondere alle istanze di accesso, tenendo conto del fatto che l\u2019art. 12 del GDPR impone di fornire agli interessati tutte le informazioni relative al trattamento dei loro dati personali <em>\u201cin forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro\u201d.<\/em> In particolare, nelle Linee Guida sul diritto di accesso dell\u2019EDPB si precisa che la forma pi\u00f9 adatta deve essere decisa <strong><em>caso per caso<\/em><\/strong> e che, talvolta, le informazioni vengono meglio comprese dall\u2019interessato se viene loro fornita una <strong>copia<\/strong> del documento contenente i dati personali.<\/li>\n<\/ul>\n\n\n\n<p>Nel caso di specie, la consegna della documentazione contenente i dati personali connessi al procedimento disciplinare dell\u2019ex dipendente sarebbe stata l\u2019unica modalit\u00e0 idonea a permetterle l\u2019accesso.<\/p>\n\n\n\n<p><em><u>Suggerimenti operativi<\/u><\/em><\/p>\n\n\n\n<p>Dalla lettura del <a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/10007853\" target=\"_blank\" rel=\"noreferrer noopener\">provvedimento in esame<\/a> emerge, quindi ed ancora una volta, l\u2019esigenza per i titolari del trattamento di porre in essere tutti gli adempimenti necessari al fine di evitare intoppi durante l\u2019evasione delle richieste avanzate dagli interessati e, soprattutto, le ingenti sanzioni da parte del Garante.<\/p>\n\n\n\n<p>In considerazione di ci\u00f2 e sulla base delle osservazioni svolte dallo stesso Garante, i titolari del trattamento dovrebbero avere cura di:<\/p>\n\n\n\n<ul>\n<li>predisporre una <strong>procedura <em>ad hoc<\/em><\/strong> per riscontrare le istanze di esercizio dei diritti avanzate dagli interessati ai sensi del GDPR, che disciplini in modo chiaro e puntuale il processo di gestione delle richieste, nei tempi e con le modalit\u00e0 previste dalla normativa privacy;<\/li>\n\n\n\n<li>formare adeguatamente il personale, che si occupa di tale processo;<\/li>\n\n\n\n<li>valutare con attenzione gli aspetti che caratterizzano ogni singola istanza, in quanto la modalit\u00e0 di riscontro deve essere ponderata con riferimento al caso concreto.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Il Garante per la protezione dei dati personali ha comminato una sanzione pari a 20 mila euro ad una societ\u00e0 e, nello specifico, un istituto bancario, per aver violato gli artt. 12 e 15 del Regolamento UE n. 2016\/679 (di seguito \u201cGDPR\u201d). La vicenda e l\u2019istruttoria avviata del Garante L\u2019ex dipendente di un istituto di [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":18998,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[34,11],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18997"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=18997"}],"version-history":[{"count":3,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18997\/revisions"}],"predecessor-version":[{"id":19002,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/18997\/revisions\/19002"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/18998"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=18997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=18997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=18997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}