Il provvedimento n. 121/2026 del Garante per la protezione dei dati personali offre una prospettiva molto chiara su quanto sia cruciale per le aziende gestire con attenzione gli adempimenti relativi al trattamento dei dati personali, specialmente al termine di un rapporto lavorativo. La decisione riguarda l’esercizio dei diritti di accesso e cancellazione dei dati personali ( art. 15 e 17 GDPR ) da soddisfare senza ingiustificati ritardi.
Il reclamo e l’ istruttoria – La vicenda nasce dal reclamo di una ex collaboratrice che, dopo la cessazione del rapporto avvenuta nell’agosto 2024, aveva chiesto formalmente tramite PEC la cancellazione dei propri dati personali (foto, cellulare e mail aziendale) dalla sezione “Chi siamo” del sito web aziendale e l’invio di una copia del suo ultimo contratto di collaborazione. Nonostante la diffida, la società non ha fornito alcun riscontro iniziale per oltre sei mesi, portando la lavoratrice a rivolgersi all’Autorità garante per denunciare l’omesso esercizio dei propri diritti. Nella fase istruttoria, la difesa della società si è concentrata su motivazioni che il Garante ha ritenuto non idonee a giustificare il mancato riscontro.
Accesso ai dati – Per quanto riguarda il diritto di accesso regolato dall’articolo 15 del GDPR, la società ha sostenuto che il contratto richiesto fosse già in possesso della donna e che, essendo un modulo standard, lei avrebbe potuto reperirlo facilmente. Su questo punto, l’Autorità ha ribadito un principio fondamentale: il diritto di accesso non prevede limitazioni basate sulla preesistente disponibilità delle informazioni in capo all’interessato. Il titolare ha l’obbligo di fornire una copia dei dati personali trattati e le relative informazioni sul trattamento senza poter sindacare sul perché l’interessato presenti la richiesta, a meno che non si tratti di istanze palesemente eccessive o ripetitive. Un ulteriore aspetto critico evidenziato riguarda le modalità di riscontro definite dall’articolo 12 del GDPR. La norma impone al titolare di rispondere alle richieste degli interessati entro un mese, anche nel caso in cui decida di non ottemperare, spiegandone i motivi e informando l’utente della possibilità di fare reclamo.
Diritto all’ oblio – Parallelamente, il provvedimento analizza le modalità di esercizio di un altro diritto a disposizione dell’ interessato : la cancellazione dei dati personali prevista dall’articolo 17 del GDPR. La società ha cercato di giustificare la permanenza su sito web di foto e contatti con processi di ristrutturazione interna e il cambio di fornitore che gestiva la pagina internet. Tuttavia, è emerso che i dati erano ancora visibili online mesi dopo la fine della collaborazione e ben oltre la richiesta formale di rimozione. Il Garante ha chiarito che, una volta venuta meno la finalità del trattamento, legata al rapporto di lavoro concluso, i dati devono essere cancellati senza ingiustificato ritardo. Inoltre, il mantenere informazioni non aggiornate su un sito web viola anche il principio di esattezza, poiché il titolare è tenuto ad adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati non più rispondenti alla realtà (art. 5 del GDPR).
Alla luce di queste molteplici inosservanze, il Garante ha confermato l’illiceità del trattamento e ha comminato una sanzione amministrativa di 3.000 euro proporzionata al periodo di tempo per la quale si è protratta.
Conclusioni – Il provvedimento del Garante offre una prospettiva molto chiara su quanto sia cruciale per le aziende gestire con attenzione gli adempimenti relativi al trattamento dei dati personali. La decisione evidenzia come la corretta gestione delle istanze privacy non sia un mero onere burocratico, bensì un pilastro di trasparenza e correttezza, valori centrali sia nella disciplina della protezione dei dati che nel diritto del lavoro.
In conformità al GDPR, l’azienda è tenuta a rispondere tempestivamente alle richieste di accesso degli interessati e a provvedere, senza ritardo, alla cancellazione dei dati personali. Tale obbligo si fa ancora più stringente alla cessazione del rapporto di lavoro, quando i dati non risultano più pertinenti alle finalità della raccolta. Adempiere a questo dovere significa non solo tutelare i diritti dei singoli, ma anche rispettare il principio di esattezza nei confronti di chiunque consulti tali informazioni, inclusi gli utenti del sito aziendale interessati a conoscere i componenti dell’organico aziendale.
