Diritto di accesso ai dati: sanzionati Autostrade per l’Italia e Amazon
Nell’ambito della disciplina dei diritti di cui al Regolamento 679/2016, il diritto di accesso, già sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea e disciplinato anche dall’art. 15 del GDPR, il Regolamento generale sulla protezione dei dati, è di importanza tale da comportare l’adozione da parte dell’European Data Protection Board (EDPB) delle linee guida 01/2022 sul diritto di accesso, che sono state aggiornate lo scorso 28 marzo 2023.
In esse viene ribadito che il diritto di accesso non deve essere considerato isolatamente in quanto è strettamente connesso ad altre disposizioni del GDPR, quali ad esempio, i principi di correttezza e liceità del trattamento, nonché con i diritti dell’interessato previsti dal Capo III.
Il diritto di accesso ai dati
Il diritto di accesso, come rubricato all’art. 15 del GDPR, consente all’interessato di ottenere conferma dell’elaborazione o meno dei dati che lo riguardano, di accedere ai dati personali e alle informazioni sul trattamento: tra queste le finalità, categorie di dati e destinatari, periodo di conservazione, diritti dell’interessato e presenza di garanzie adeguate in caso di trasferimenti verso Paesi terzi.
Rispetto al perimetro del diritto oggetto delle linee guida, l’EDPB evidenzia che il diritto di accesso in materia di protezione dei dati personali deve essere tenuto distinto dal diritto di accesso disciplinato da altre norme quali, ad esempio, quelle sulla trasparenza amministrativa.
I limiti
Il diritto di accesso incontra i limiti posti sia dall’art. 15, paragrafo 4, del GDPR, ovvero non deve ledere i diritti e libertà altrui, sia i limiti dell’art. 12, paragrafo 5, del GDPR, ossia, la richiesta non può essere manifestamente infondata o eccessiva. L’EDPB sottolinea che i limiti sopra individuati sono gli unici che possono essere posti all’esercizio del diritto di accesso ed anche la volontà contrattuale delle parti non può tradursi nella creazione di limiti al diritto di accesso.
Rispetto ai limiti di cui all’art. 15, paragrafo 4, l’EDPB evidenzia che deve essere svolto un giudizio di bilanciamento tra i diritti coinvolti e, se possibile, il contrasto tra i diritti dovrà essere risolto dal titolare, il quale deve adoperarsi per non limitare il diritto di accesso. Ad esempio, nell’adempimento delle richieste di accesso che coinvolgono i diritti di altri soggetti, se possibile, il titolare dovrebbe rendere illeggibili le informazioni degli altri soggetti invece di rifiutare di fornire una copia dei dati al richiedente.
Relativamente ai limiti posti dall’art. 12, paragrafo 5, l’EDPB afferma che gli stessi devono essere interpretati in modo restrittivo. Ad esempio, una richiesta può essere considerata manifestamente infondata se riguarda informazioni o trattamenti che chiaramente non fanno parte dell’oggetto dell’attività del titolare del trattamento. Rispetto alla valutazione di una richiesta come “eccessiva”, l’EDPB evidenzia che la stessa deve essere effettuata sulla base di un criterio quantitativo, con particolare riferimento all’intervallo intercorso tra una richiesta ed un’altra. In ogni caso, il titolare deve essere preparato a ricevere le richieste di accesso e rispondere senza ritardo.
Il titolare del trattamento deve comunque rispondere nei termini
L’interessato può presentare un’istanza al titolare, senza particolari formalità, la quale può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
All’istanza il titolare deve fornire idoneo riscontro entro un mese dal suo ricevimento. Tale termine può essere prorogato di due mesi, qualora si renda necessario, tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro un mese dal ricevimento della richiesta.
Il provvedimento del Garante nei confronti di Autostrade per l’Italia
In merito al diritto di accesso, il Garante della privacy è intervenuto con due provvedimenti sanzionando Autostrade per l’Italia e Amazon Italia Transport, rispettivamente per 100mila e per 40mila euro, per non aver dato tempestivo e motivato riscontro, neppure di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti.
Il Provvedimento 16 novembre 2023, n. 529 nei confronti di Autostrade per l’Italia trae origine dai reclami di cinquanta dipendenti che si erano rivolti all’azienda chiedendo di aver accesso ai propri fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga stesse senza ottenere alcuna risposta.
Alla richiesta di spiegazioni del Garante, la società aveva risposto di non aver dato riscontro alle istanze per non compromettere il proprio diritto di difesa in giudizio poiché tra la società e i lavoratori, infatti, erano in corso diversi procedimenti giudiziari riguardanti l’accantonamento e le modalità di calcolo della liquidazione.
La società, inoltre, affermava che i dipendenti avrebbero potuto conoscere i propri dati retributivi accedendo in autonomia alla piattaforma informatica dedicata. Invece, in merito alle richieste di delucidazione riguardante il trattamento dei dati e la base giuridica del trattamento, la società faceva presente che tali dati venivano portati a conoscenza tramite l’atto di assunzione dove veniva fornita anche la “informativa sul trattamento dei dati personali”, ai sensi dell’ art. 13 del GDPR, in modalità cartacea.
Tuttavia, l’Autorità ha ritenuto che Autostrade avrebbe dovuto comunque rispondere alle istanze dei dipendenti, precisando il motivo del diniego nonché la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria. La società, inoltre, avrebbe dovuto fornire riscontro anche riguardo ai dati già nella disponibilità dei lavoratori, indicando loro la piattaforma informatica attraverso cui accedere alle informazioni richieste.
Il Garante, pertanto, ha ingiunto ad Autostrade di fornire completo riscontro alle istanze dei reclamanti e per le violazioni riscontrate ha comminato alla società una sanzione di 100mila euro.
Il provvedimento contro Amazon Italia
Nel caso di Amazon, con il Provvedimento 16 novembre 2023, n. 530, il Garante è intervenuto a seguito del reclamo di un ex dipendente che aveva lamentato il mancato riscontro della società alla richiesta volta ad ottenere copia dei documenti riferiti al proprio rapporto di lavoro. Alla richiesta di informazioni del Garante, la società aveva risposto di non aver dato riscontro all’istanza perché redatta in maniera molto ampia e generica.
Aveva in seguito inviato copia dei documenti richiesti all’ex dipendente, ma solo dopo l’avvio dell’istruttoria del Garante, e comunque quasi sei mesi dopo il termine dei trenta giorni previsto dal Regolamento europeo in materia di privacy. L’Autorità, ricordando ad Amazon che avrebbe dovuto comunque rispondere tempestivamente all’istanza dell’ex dipendente, eventualmente chiedendo di dettagliare i dati ai quali voleva accedere, ha irrogato alla società una sanzione di 40mila euro.
I provvedimenti del Garante, in tema di diritto di accesso ai dati, ribadiscono l’importanza e il ruolo fondamentale di questo principio al fine di garantire agli interessati di avere il controllo sui propri dati personali. Riguardo al provvedimento verso Autostrade, l’Autorità afferma “la necessità di dare una risposta motivata anche in caso di diniego dell’accesso, indicando all’interessato la possibilità di presentare reclamo al Garante o ricorso all’autorità giudiziaria”.
Nel secondo provvedimento si afferma che “un’istanza di accesso formulata in modo ampio e generico non esime dal rispondere tempestivamente all’interessato, eventualmente chiedendo di circostanziare meglio la richiesta. Pertanto, nel caso in cui si ricevano istanze di accesso, occorre valutare con attenzione le richieste e rispondere sempre all’interessato, eventualmente chiedendo di circostanziare meglio l’istanza o motivando il diniego.
