geolocalizzazione-accesso-dati

Il Garante Privacy ha comminato una sanzione di €.20.000,00 ad una società per non aver fornito corretto riscontro alla richiesta di accesso dei dati effettuata da un gruppo di lavoratori in merito alle attività di geolocalizzazione connesse ai rimborsi chilometrici.

La vicenda trae origine da un reclamo, presentato da un gruppo di lavoratori avverso la propria società, per l’impossibilità di esercitare in modo pieno e completo il diritto di accesso così come formulato dall’art. 15 del GDPR.

Nello specifico, i dipendenti necessitavano di avere contezza dei dati relativi alla geolocalizzazione utilizzati dalla società che, incaricata di leggere i contatori di luce, gas e acqua, aveva installato sugli smartphone in uso ai dipendenti un sistema di geolocalizzazione, che permetteva “l’individuazione del tragitto da effettuare per giungere ai contatori (omissis), nonché la verifica del luogo esatto dell’effettuazione delle letture”.

Al fine, quindi, di verificare la correttezza dei rimborsi chilometrici ricevuti e della retribuzione mensile oraria, nonché per verificare il criterio logico di elaborazione di tali dati e il dettaglio delle informative sul trattamento dei dati e degli strumenti attraverso cui la società trattava tali dati, i dipendenti esercitavano una specifica richiesta di accesso ai dati.

Il Garante, tuttavia, accertava come la società, pur riscontrando “formalmente” la richiesta predetta attraverso l’invio di policy per la gestione dei terminali GPS e delle relative informative sottoscritte dai dipendenti, teneva una condotta non conforme alla disciplina in materia di protezione dei dati, poiché non forniva un riscontro idoneo alle istanze presentate dai reclamanti. Infatti, la società comunicava limitate informazioni che non esaurivano le richieste dei dipendenti: rileva l’Autorità come “la Società non ha fornito in modo completo quanto richiesto attraverso le istanze dei reclamanti né si ritiene che i documenti forniti dalla società contenessero in modo esaustivo le informazioni stesse, nonostante la chiarezza e l’analiticità delle istanze” limitandosi la società stessa a “indicare le modalità e le finalità del trattamento dei dati relativi alla geolocalizzazione”.

In proposito si rammenta come il diritto riconosciuto agli Interessati di accedere ai propri dati non si esaurisca nel mero rinvio ai contenuti delle informative di cui agli artt. 13 e 14 del Regolamento, ma debba essere, necessariamente, adattato dal Titolare alle operazioni di trattamento effettivamente svolte nei confronti dell’Interessato che presenta la richiesta. Ciò è quanto viene chiarito anche dalle “Guidelines 01/2022 on data subject rights- Right of access” a norma delle quali il mero rinvio all’informativa privacy generale non sarebbe mezzo sufficiente per consentire al Titolare del trattamento di fornire le informazioni di cui all’art. 14, paragrafi 1, lettere a) – h) e 2.

Osserva, peraltro, l’Autorità come, anche qualora la società non avesse ritenuto di poter soddisfare pienamente le richieste di esercizio del diritto di accesso per mancanza di tali dati, circostanza più volte rappresentata dalla stessa nelle proprie difese, questa avrebbe ben dovuto fornire i motivi specifici per i quali non era in grado di soddisfare le istanze, così come formulate dai lavoratori.

Una leggerezza, quella del riscontro generico, costata davvero caro alla società.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!