Compilare un modulo per accedere ai propri dati è lecito, ma sussiste una violazione del GDPR se l’assolvimento di questo compito è condizione necessaria per espletare la richiesta di accesso da parte di un interessato.
Una decisione del Garante privacy italiano del giugno 2022, con cui l’autorità ha sanzionato la banca Unicredit per 70.000 euro, permette di approfondire questo ambito: “Si tratta a ben vedere dell’applicazione di quanto già previsto in maniera chiara dalla normativa GDPR, seppur meglio specificato nelle linee guida dell’EDPB del febbraio scorso, sul diritto di accesso”, commenta l’avvocato Andrea Michinelli.
Accesso ai dati, come fare: tutte le istruzioni dell’EDPB nelle nuove linee guida
Indice degli argomenti
L’antefatto
Un cittadino ha presentato reclamo lamentando “presunte violazioni del Regolamento, da parte di Unicredit Spa, con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati nell’ambito del rapporto di lavoro ai sensi dell’articolo 15 del Regolamento”, si legge nelle carte del Garante.
In particolare, il reclamo verteva sulla mera risposta interlocutoria della banca a un’istanza di accesso ai dati presentata nel marzo 2019 dal reclamante, il quale ha lamentato anche “il mancato adeguamento della valutazione della prestazione lavorativa relativa al 2008 e, di conseguenza, alla corretta ricostruzione della carriera lavorativa”, in seguito a una dichiarazione di illegittimità da parte dell’autorità giudiziaria di una sanzione disciplinare che era stata comminata dalla società al reclamante e di non validità di un giudizio negativo relativo all’anno 2008.
Il giudizio non era stato cancellato, infatti, ma era stato solo aggiunto il riferimento alla sentenza e quindi la non validità della valutazione.
La replica di Unicredit
La società aveva replicato di aver risposto dopo quattro giorni al reclamante sostenendo la necessità di compilare un modulo presente su un sito aziendale per poter accedere ai dati perché la richiesta era troppo generica, in quanto riguardava qualsiasi tipologia di dato. La banca ha spiegato anche di aver predisposto “modalità di riscontro differenziate per tipologia di interessati, distinguendo tra dipendenti in servizio, ex dipendenti, altri interessati. Con specifico riferimento al diritto di accesso, per i dipendenti in servizio è previsto che la richiesta pervenga tramite il canale HR web ticket […] allegando il modulo”, la cui compilazione, si legge nelle carte del Garante “ha il solo scopo di agevolare il richiedente e rendere più facilmente intellegibile l’oggetto della richiesta, riducendo il rischio di dover chiedere chiarimenti o di fornire risposte non adeguate”.
Riguardo ai giudizi, Unicredit ha spiegato che in conformità alla relativa sentenza della Corte d’Appello, il reclamante era stato rimborsato dei dieci giorni di retribuzione del periodo di sospensione, oltre a rettificare la valutazione negativa nel fascicolo del lavoratore.
Accesso ai dati, cosa dice il GDPR
Secondo la normativa, il titolare del trattamento deve valutare e dare seguito a tutte le richieste di accesso ai dati, le quali non per forza devono essere vincolate alla compilazione di un modulo. Dunque, predisporre un modulo la cui compilazione è prerogativa necessaria per ottenere le informazioni rappresenta una barriera all’esercizio del diritto di accesso. In più, secondo l’articolo 12 del GDPR inoltre, il titolare deve fornire le informazioni entro trenta giorni, lo stesso tempo previsto affinché il titolare invii le proprie motivazioni nel caso non accogliesse la richiesta di accesso.
Per Michinelli, “è comprensibile che la Banca abbia richiesto maggiori dettagli alla persona, che abbia cercato di limitare il perimetro di ricerca dei dati richiesti (cosa che potrebbe essere piuttosto onerosa, lato titolare) – tuttavia ciò non può andare a detrimento delle garanzie stabilite nel GDPR per la tutela dei diritti degli interessati. L’uso di modulistica è il benvenuto ma non può essere una strada esclusiva, altrimenti non più di supporto operativo si tratta ma di ostacolo all’esercizio dei diritti. L’interessato ha la libertà di attivarsi come preferisce, lo sancisce l’art. 12 GDPR, purché la richiesta sia intellegibile, non ingiustificatamente eccessiva o infondata. Non era questo il caso, pare”.
“Quanto al perimetro della richiesta, dopo la prima richiesta di precisazione, di restrizione dei possibili dati – in sé lecita, ripetiamo –, la Banca avrebbe comunque dovuto dar corso alla raccolta di tutti i dati come reiteratamente richiesti dall’interessato, magari precisando gli ambiti nei quali non sarebbe potuto essere effettuato o se fosse necessario estendere le tempistiche di replica (fino a tre mesi totali) per la complessità operativa”, prosegue Michinelli. Infine, “il comma 4 dell’art. 12 GDPR ben chiarisce che anche quando non possa/voglia fornire le informazioni richieste, il titolare deve comunque motivare e segnalare la possibilità di reclamo al Garante e di ricorso alla giustizia ordinaria. Non farlo, come in questo caso, configura una palese violazione”.
La decisione del Garante
Ritenendo quindi sussistenti le violazioni al GDPR, il Garante ha sanzionato Unicredit per 70.000 euro. Ha invece ritenuto che la società abbia svolto in modo conforme alle norme le attività di rettifica svolte sul fascicolo del dipendente in relazione alla sentenza di illegittimità della sanzione disciplinare e del giudizio negativo del 2008.