Sanzione privacy contro una banca

Sanzione privacy del Garante contro una banca

Perché il Garante Privacy ha inflitto una sanzione contro una banca?

Il Garante per la Protezione dei Dati Personali, nel provvedimento n. 137 del 7 di marzo di 2024, ha colpito duramente la Banca di Credito Cooperativo Appulo Lucana, imponendo loro una multa di 20.000 euro per aver violato il diritto di accesso ai dati personali di una lavoratrice.

Il caso

Il caso riguarda la richiesta di una ex-dipendente, che ha richiesto all’istituto bancario l’accesso al proprio fascicolo personale per conoscere le informazioni che avevano portato a una sanzione disciplinare nei suoi confronti, e una copia degli stessi. La banca ha fornito un elenco incompleto della documentazione, consegnando la documentazione completa solo dopo l’intervento del Garante Privacy.

La banca si era rifiutata di fornire la documentazione sostenendo che conteneva informazioni su terzi e che la lavoratrice non aveva un legittimo interesse ad accedervi. Tuttavia, il Garante ha stabilito che l’istituto bancario ha violato l’articolo 12 del GDPR, che impone l’obbligo di fornire agli interessati tutte le informazioni relative al trattamento dei loro dati personali in modo conciso, trasparente, intelligibile e facilmente accessibile.

Il Garante ha sottolineato che la lavoratrice ha diritto a ottenere copia di tutti i documenti che la riguardano, non solo dei dati personali in essi contenuti. Inoltre, l’istituto non ha comunicato alla dipendente le motivazioni per cui non le forniva tutta la documentazione, costituendo un’ulteriore violazione del GDPR.

Questa sanzione funge da esempio per le altre aziende che devono rispettare le norme sulla privacy.

Il diritto di accesso ai dati personali del lavoratore: cosa devono sapere le aziende?

La normativa sulla protezione dei dati, sia a livello nazionale che europeo, riconosce ai lavoratori il diritto di accedere ai dati personali che il datore di lavoro conserva su di loro. Questo diritto è fondamentale per consentire ai lavoratori di sapere quali informazioni sono conservate su di loro, per quale scopo e a chi sono state comunicate.

A questo riguardo, le aziende, in qualità di titolari del trattamento dei dati personali dei propri dipendenti, devono rispettare tra gli altri i seguenti obblighi:

  • Informare i lavoratori: i lavoratori devono essere informati su come i loro dati personali vengono raccolti, utilizzati e archiviati.
  • Adottare misure di sicurezza: le aziende devono implementare misure di sicurezza adeguate per proteggere i dati personali dei propri dipendenti.
  • Rispondere alle richieste dei lavoratori: devono rispondere alle richieste di accesso, rettifica, cancellazione, limitazione del trattamento e opposizione al trattamento dei loro dati personali entro un mese.

Il mancato rispetto di questi obblighi può avere gravi conseguenze per le aziende, come sanzioni da parte delle autorità per la protezione dei dati, danni alla reputazione dell’azienda e perdita della fiducia dei dipendenti.

Come evitare un simile intoppo?

Per evitare sanzioni simili a quelle inflitte alla Banca sopracitata, le aziende devono inoltre adottare misure proattive per garantire il rispetto del GDPR in materia di accesso ai dati personali.

Ecco alcuni consigli chiave:

  • Sviluppare procedure e politiche sulla privacy chiare e accessibili. Definire un processo trasparente ed efficiente per gestire le richieste di accesso ai dati personali ed assicurarsi che tutti i dipendenti coinvolti conoscano queste politiche e procedure.
  • Formare i dipendenti sulla protezione dei dati (e mantenerli aggiornati!). Fornire una formazione adeguata ai propri dipendenti sul GDPR e sulle sue implicazioni nella gestione dei dati personali. Ciò che consentirà di comprendere meglio i diritti degli individui e di rispondere adeguatamente alle loro richieste.
  • Stabilire procedure adeguate per la gestione delle richieste dei lavoratori. Ad esempio, utilizzando strumenti tecnologici che aiutino a gestire le richieste di accesso ai dati personali in modo efficiente e sicuro. Questi strumenti possono automatizzare l’attività e garantire il rispetto delle scadenze stabilite dal GDPR.
  • Effettuare audit periodici per valutare il rispetto dele proprie politiche e procedure relative all’accesso ai dati personali. Ciò consentirà di identificare eventuali falle di sicurezza o aree di miglioramento.
  • Richiedere consulenza legale: in caso di dubbi sugli obblighi derivanti dal GDPR, consultare un professionale specializzato in protezione dei dati.

Conclusione

In definitiva, ricorda che il diritto di accesso ai dati personali del lavoratore è un diritto fondamentale che le aziende devono rispettare. Il rispetto della normativa sulla protezione dei dati non è solo un obbligo legale, ma anche una buona pratica per le aziende, in quanto può contribuire a migliorare il rapporto con i propri dipendenti e rafforzare la propria reputazione.

 

 

Fonte: Provvedimento del 7 marzo 2024 [10007853] – Garante Privacy | Newsletter del Garante di 3 maggio 2024

 

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!