Roberto Rossi
Con il Provvedimento n. 403 dello scorso 10 ottobre 2023 il Garante per la Privacy ha sanzionato una società che ha violato il diritto di accesso ex art. 15 GDPR di alcuni dipendenti.
Di fatti, nonostante un riscontro tempestivo all’istanza di accesso dei lavoratori, la società si era limitata a fornire loro un accesso generico alla documentazione sulla privacy, non consentendo invece l’accesso ai dati effettivi richiesti.
Cerchiamo di riassumere di seguito il caso all’attenzione del Garante e la valutazione effettuata dall’authority.
Il caso: la richiesta di accesso alle informazioni sulla posizione dei dipendenti
La vicenda origina dalla richiesta di tre lavoratori della società, che domandavo al datore di lavoro l’accesso alle informazioni sulle modalità di quantificazione dei rimborsi chilometrici erogati in busta paga, conteggiati sulla base dei dati acquisiti mediante geolocalizzazione sulla posizione dei dipendenti. Secondo i lavoratori, infatti, erano stati riscontrati alcuni errori nel calcolo dei rimborsi erogati nell’ultima busta paga.
La società procedeva con il riscontro tempestivo della richiesta dei dipendenti, fornendo loro una copia della documentazione sulla privacy relativa al trattamento dei loro dati personali e l’informativa ex art. 13 GDPR.
Tuttavia, i lavoratori contestavano la documentazione come generica rispetto alla specificità dei dati richiesti sulla posizione dei dipendenti, sporgendo reclamo all’Autorità Garante.
La società sosteneva invece di aver cercato di soddisfare al massimo delle proprie possibilità le richieste dei dipendenti e che in riferimento alla durata della geolocalizzazione e al monitoraggio chilometrico, non poteva disporre l’accesso, non svolgendo l’azienda alcuna effettiva geolocalizzazione.
In sintesi, l’azienda si avvaleva di un’app per la geolocalizzazione, installata sugli smartphone aziendali, ma ad essere geolocalizzata era solamente la posizione dei contatori al solo fine di riscontrare le esigenze dei clienti (la società operava nel settore dell’installazione dei contatori delle utenze domestiche). Inoltre, l’app acquisiva solo i dati inseriti dai dipendenti, interrompendo la geolocalizzazione nel momento in cui veniva chiusa.
Pertanto, la società asseriva di non aver mai acquisito dati relativi alla geolocalizzazione dei dipendenti, né di aver effettuato un concreto monitoraggio dei loro spostamenti.
Il diritto di accesso ai dati
La comunicata posizione del Garante esordisce rammentando come il diritto di accesso ex art. 15 GPDR sia uno dei capisaldi fondamentali della data protection, permettendo all’interessato di accedere ai propri dati personali oggetto di trattamento e acquisire informazioni specifiche sulle sue modalità.
A questo diritto corrisponde – di contro – il dovere del titolare del trattamento di provvedere alla trasmissione di una copia di tutte le informazioni richieste.
Le Linee guida 01/2022 dell’EDPB sul diritto d’accesso aggiungono poi che quest’ultimo deve risultare in un’acquisizione di dati personali effettivi, aggiornati e declinati nel contesto di trattamento materialmente svolto.
Or bene, dopo aver riassunto il caso in esame, il Garante afferma di condividere la posizione dei lavoratori in favore di una violazione del loro diritto di accesso.
Per il Collegio, infatti, non era sufficiente quanto già trasmesso dalla società, poiché tali informazioni afferivano solo alle finalità e alle modalità di trattamento in astratto, mentre esulavano da quella che era la specifica richiesta dei dipendenti, ovvero i dati e le modalità di calcolo dei rimborsi chilometrici in busta paga.
La posizione del Garante
Il Garante ricorda poi come il diritto di ricevere informazioni contenute nell’informativa ex art. 13 GDPR sia cosa ben diversa dal diritto di accesso, che si esplica sul dato in concreto trattato dal titolare e aggiornato al momento dell’accesso.
In relazione alla specifica natura dei dati richiesti, il Garante aggiunge affermando che la società, acquisendo in tempo reale la posizione del contatore su cui il dipendente stava lavorando, ha acquisito altresì in modo indiretto la sua posizione, con un’attività sostanziale di geolocalizzazione.
Pertanto, la società – omettendo di trasmettere i dati in suo possesso relativi alla geolocalizzazione – ha posto in essere una violazione degli artt. 12 e 15 GDPR.
Alla luce di quanto sopra, il Garante ordina alla società di adempiere correttamente alle richieste dei dipendenti comminando una multa di 20.000 euro.
