ACCESSO AI DATI, PERCHÉ È ILLECITO IMPORRE UN MODULO AGLI UTENTI: IL CASO UNICREDIT

A giugno 2022, il Garante privacy ha sanzionato Unicredit alla luce di un reclamo presentato da un lavoratore che aveva voluto esercitare il suo diritto di accesso ai propri dati e gli era stato chiesto di compilare un modulo per rendere più precisa l’istanza, senza il quale non si è dato seguito alla domanda.
Approfondisci, di seguito, il caso e scopri qual è il corretto comportamento per rispettare la conformità al GDPR.

IL CASO UNICREDIT

Un cittadino, lavoratore della società di riferimento, ha presentato reclamo lamentando “presunte violazioni del Regolamento, da parte di Unicredit Spa, con riferimento al mancato riscontro alla richiesta di accedere ai dati personali trattati nell’ambito del rapporto di lavoro ai sensi dell’articolo 15 del Regolamento”, come esposto dall’Autority.

 

In particolare, il reclamo verteva sulla mera risposta interlocutoria della banca a un’istanza di accesso ai dati (presentata nel marzo 2019 dall’interessato).

 

Il Lavoratore ha lamentato anche “il mancato adeguamento della valutazione della prestazione lavorativa relativa al 2008 e, di conseguenza, alla corretta ricostruzione della carriera lavorativa”, in seguito a una dichiarazione di illegittimità da parte dell’autorità giudiziaria di una sanzione disciplinare che era stata comminata dalla società al reclamante e di non validità di un giudizio negativo relativo all’anno 2008.

 

Il giudizio non era stato cancellato, infatti, ma era stato solo aggiunto il riferimento alla sentenza e quindi la non validità della valutazione.

 

Il Titolare aveva replicato di aver risposto dopo quattro giorni al reclamante sostenendo la necessità di compilare un modulo presente su un sito aziendale per poter accedere ai dati perché la richiesta era troppo generica, in quanto riguardava qualsiasi tipologia di dato.

 

Infine, la banca ha spiegato anche di aver predisposto “modalità di riscontro differenziate per tipologia di interessati, distinguendo tra dipendenti in servizio, ex dipendenti, altri interessati. Con specifico riferimento al diritto di accesso, per i dipendenti in servizio è previsto che la richiesta pervenga tramite il canale HR web ticket […] allegando il modulo”, la cui compilazione, si legge nelle carte del Garante “ha il solo scopo di agevolare il richiedente e rendere più facilmente intellegibile l’oggetto della richiesta, riducendo il rischio di dover chiedere chiarimenti o di fornire risposte non adeguate”.

 

Riguardo ai giudizi, Unicredit ha spiegato che in conformità alla relativa sentenza della Corte d’Appello, il reclamante era stato rimborsato dei dieci giorni di retribuzione del periodo di sospensione, oltre a rettificare la valutazione negativa nel fascicolo del lavoratore.

ACCESSO AI DATI, IL GDPR

Secondo la normativa, il titolare del trattamento deve valutare e dare seguito a tutte le richieste di accesso ai dati, le quali non per forza devono essere vincolate alla compilazione di un modulo.

 

Dunque, predisporre un modulo la cui compilazione è prerogativa necessaria per ottenere le informazioni rappresenta una barriera all’esercizio del diritto di accesso.

 

In più, secondo l’articolo 12 del GDPR, il titolare deve fornire le informazioni entro trenta giorni, lo stesso tempo previsto affinché il titolare invii le proprie motivazioni nel caso non accogliesse la richiesta di accesso.

 

Per Michinelli, “è comprensibile che la Banca abbia richiesto maggiori dettagli alla persona, che abbia cercato di limitare il perimetro di ricerca dei dati richiesti (cosa che potrebbe essere piuttosto onerosa, lato titolare) – tuttavia ciò non può andare a detrimento delle garanzie stabilite nel GDPR per la tutela dei diritti degli interessati. L’uso di modulistica è il benvenuto ma non può essere una strada esclusiva, altrimenti non più di supporto operativo si tratta ma di ostacolo all’esercizio dei diritti. L’interessato ha la libertà di attivarsi come preferisce, lo sancisce l’art. 12 GDPR, purché la richiesta sia intellegibile, non ingiustificatamente eccessiva o infondata. Non era questo il caso, pare”.

 

Quanto al perimetro della richiesta, dopo la prima richiesta di precisazione, di restrizione dei possibili dati – in sé lecita, ripetiamo –, la Banca avrebbe comunque dovuto dar corso alla raccolta di tutti i dati come reiteratamente richiesti dall’interessato, magari precisando gli ambiti nei quali non sarebbe potuto essere effettuato o se fosse necessario estendere le tempistiche di replica (fino a tre mesi totali) per la complessità operativa”, prosegue Michinelli. Infine, “il comma 4 dell’art. 12 GDPR ben chiarisce che anche quando non possa/voglia fornire le informazioni richieste, il titolare deve comunque motivare e segnalare la possibilità di reclamo al Garante e di ricorso alla giustizia ordinaria. Non farlo, come in questo caso, configura una palese violazione”.

IL NOSTRO PUNTO DI VISTA

Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità, questo è quanto viene esposto dai considerando nel regolamento europeo in materia di dati personali.

 

Ogni interessato, infatti, dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.

 

Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali.

 

Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software.

 

l GDPR ha un potere di esecuzione piuttosto notevole – con multe fino al 4% del fatturato globale annuo di un’azienda o di 20 milioni di euro – a seconda di quale dei due valori sia il più alto. “Il piu alto dei due valori” è una parte fondamentale del GDPR, perché in alcuni casi la cifra può salire vertiginosamente!

 

Nel caso in esame, ritenendo quindi sussistenti le violazioni al GDPR, il Garante ha sanzionato Unicredit per 70.000 euro. Ha invece ritenuto che la società abbia svolto in modo conforme alle norme le attività di rettifica svolte sul fascicolo del dipendente in relazione alla sentenza di illegittimità della sanzione disciplinare e del giudizio negativo del 2008.

 

Trattare i dati personali in piena conformità con il GDPR è fondamentale, indipendentemente dalle dimensioni del tuo sito web o della tua azienda.

 

E tu cosa pensi a riguardo? Scrivilo nei commenti oppure, se hai necessità di ulteriori informazioni o di un aiuto per il rispetto della compliance al GDPR, scrivici all’indirizzo info@abinnovationconsulting.com.