Diritto di accesso e cancellazione dei dati nel rapporto di lavoro: le indicazioni del Garante

Come gestire correttamente le richieste dei lavoratori ed evitare criticità nel trattamento dei dati personali

 
shutterstock 2619963797

Nel contesto della gestione dei dati personali in ambito lavorativo, il provvedimento n. 121/2026 del Garante per la protezione dei dati personali offre indicazioni rilevanti su due diritti fondamentali previsti dal Regolamento (UE) 2016/679: il diritto di accesso e il diritto alla cancellazione.

Il caso esaminato trae origine dalla richiesta, trasmessa via PEC da una ex collaboratrice a seguito della cessazione del rapporto di lavoro, con cui venivano richiesti: la cancellazione di alcuni dati personali (tra cui fotografia, numero di cellulare e indirizzo e-mail aziendale) dal sito internet aziendale e la trasmissione di copia dell’ultimo contratto di collaborazione sottoscritto. In assenza di riscontro, la lavoratrice ha presentato reclamo al Garante.

Nel corso del procedimento, la società ha motivato la propria condotta richiamando, da un lato, la natura standard del contratto richiesto, ritenuto facilmente reperibile dall’interessata, e dall’altro una riorganizzazione interna che avrebbe ritardato la cancellazione dei dati dal sito aziendale.

Il diritto di accesso: contenuto e ambito applicativo

Il Garante ha chiarito in modo netto che l’art. 15 del Regolamento non prevede limitazioni rispetto alle informazioni accessibili dall’interessato. Il diritto di accesso comprende non solo la conferma dell’esistenza di un trattamento, ma anche l’ottenimento di una copia dei dati personali e delle informazioni relative al trattamento stesso, incluse le categorie di dati trattati.

Un passaggio particolarmente rilevante riguarda il fatto che il diritto può essere esercitato anche su dati già nella disponibilità dell’interessato. Non è quindi legittimo negare l’accesso sulla base della presunta conoscenza o disponibilità pregressa dei documenti.

Tempi e modalità di risposta: obblighi stringenti per il titolare

La società è stata ritenuta in violazione anche dell’art. 12 del Regolamento, che disciplina le modalità di esercizio dei diritti. Il titolare del trattamento è infatti tenuto a fornire un riscontro senza ritardo e comunque entro un mese dalla richiesta, sia in caso di accesso sia in caso di richiesta di cancellazione.

La mancanza di una risposta, o un riscontro tardivo e non adeguato, costituisce di per sé una violazione, indipendentemente dalla fondatezza della richiesta.

Cancellazione dei dati e aggiornamento delle informazioni

Un ulteriore profilo critico riguarda la permanenza, sul sito aziendale, di dati personali della lavoratrice dopo la cessazione del rapporto. In questo caso il Garante ha rilevato una duplice violazione.

Da un lato, è stato violato il principio di esattezza dei dati previsto dall’art. 5, par. 1, lett. d) del Regolamento, che impone al titolare di mantenere i dati aggiornati e di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente quelli non più pertinenti rispetto alle finalità del trattamento.

Dall’altro, è stato violato l’art. 17 del Regolamento, che riconosce all’interessato il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, con un correlato obbligo in capo al titolare.

Il contesto del rapporto di lavoro e le conseguenze per l'impresa

Il Garante ha sottolineato come tali violazioni assumano un rilievo ancora maggiore nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra titolare e interessato. Questo elemento impone alle imprese un livello di attenzione più elevato nella gestione delle richieste e nell’organizzazione dei processi interni.

Alla luce delle violazioni riscontrate, il Garante ha qualificato come illecito il trattamento dei dati personali effettuato dalla società, in particolare per l’omesso riscontro alle richieste di accesso e cancellazione, disponendo l’applicazione di una sanzione amministrativa.

Una lettura operativa per le imprese

Il provvedimento conferma un aspetto spesso sottovalutato: la gestione dei diritti privacy non è un adempimento formale, ma un processo organizzativo che coinvolge più funzioni aziendali. In particolare, emerge la necessità di:

  • strutturare procedure interne chiare per la gestione delle richieste degli interessati;
  • presidiare le tempistiche di risposta;
  • aggiornare costantemente i dati pubblicati, soprattutto nei canali visibili come il sito web;
  • garantire la tracciabilità delle attività svolte.

In assenza di questi presidi, anche situazioni apparentemente marginali, come la mancata rimozione di un nominativo o il ritardo nella trasmissione di un documento, possono tradursi in violazioni rilevanti sotto il profilo normativo e sanzionatorio.


Tags:
garante, privacy