Il Garante ha comminato una sanzione di 20.000 euro a una società incaricata della lettura dei contatori di gas e luce, per non aver dato idoneo riscontro alle istanze di accesso ai dati di 3 dipendenti.
L’attività istruttoria del Garante è iniziata dopo che 3 lavoratori dipendenti hanno presentato un reclamo alla medesima autorità. I 3 lavoratori, al fine di verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto.
In particolare, avevano chiesto di conoscere i dati raccolti attraverso lo smartphone fornito dalla società, sul quale era stato installato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per raggiungere gli apparecchi su cui fare le rilevazioni (contatori di gas e luce).
La ditta non ha fornito un riscontro idoneo a quanto richiesto dai reclamanti, nonostante la chiarezza delle loro istanze; la stessa, infatti, si era limitata a indicare le modalità e gli scopi per i quali i dati GPS venivano trattati.
Dall’attività istruttoria del Garante, risulta accertato che il titolare ha tenuto una condotta non conforme alla disciplina in materia di protezione dei dati, in particolare, per quanto riguarda l’esercizio del diritto di accesso (art.15 RGPD), in base al quale, il titolare è tenuto a fornire “una copia dei dati personali oggetto di trattamento […]”. In ciò, l’Autorità fa esplicito riferimento anche a quanto riportato nelle “Guidelines 01/2022 on data subject rights
– Right of access”, pubblicate dall’EDPB il 28.03.2023: “Per accesso ai dati personali si intende l’accesso ai dati personali effettivi, non solo una descrizione generale dei dati, né un semplice riferimento alle categorie di dati personali trattati dal titolare. Gli interessati hanno il diritto di accedere a tutti i dati trattati che li riguardano, o a parti di essi, a seconda dell’oggetto della richiesta” (par.2.2.1.2, punto 19) [trad. non ufficiale].
Nel corso della complessa istruttoria, il Garante ha accertato che la ditta non ha dato idoneo riscontro all’istanza di accesso presentata dagli interessati. Infatti, non può ritenersi sufficiente il fatto di fornire un riscontro se quest’ultimo risulta avere un contenuto insufficiente.
La ditta, nel riscontrare formalmente le richieste, non ha comunicato gli specifici dati trattati relativi ai reclamanti, tra cui quelli acquisiti attraverso la geolocalizzazione sul terminale loro fornito nell’ambito della prestazione lavorativa.
Si è limitata, infatti, a indicare le modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione; in violazione dell’art. 12, par. 3 del RGPD. Il titolare avrebbe dovuto fornire ai reclamanti un completo riscontro alle istanze, comunicando anche i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con GPS dello smartphone attivato dai lavoratori in prossimità dei contatori (cosa non avvenuta neppure durante l’istruttoria del Garante). L’Autorità, nel Provvedimento emesso, puntualizza anche che il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono diritti differenti.
La ditta, pertanto, ha violato gli artt. 12 e 15 del RGPD nel non aver fornito un idoneo riscontro alle istanze di accesso.
Al termine dell’istruttoria il Garante ingiunge al titolare di soddisfare le richieste, fornendo ai reclamanti i dati relativi agli stessi, comminando inoltre, una sanzione amministrativa pecuniaria di 20.000 euro.
Foto: archivio Qdpnews.it
Autore: Luca Leoni – Sistema Ratio Centro Studi Castelli
