Privacy

Il Garante tutela sine die i diritti di accesso e cancellazione dei dati del lavoratore cessato

by AG

Aprile 22, 2026

·

Il Garante per la protezione dei dati personali ha sanzionato un’impresa per non aver dato seguito alla richiesta di una lavoratrice il cui rapporto di lavoro era cessato di poter accedere alle informazioni ancora in possesso del datore di lavoro, titolare del trattamento, e presenti sul sito Internet dell’impresa.

Share This

Con provvedimento del 26 febbraio 2026, n. 121, il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa pecuniaria nei confronti di una Società per l’omesso riscontro alle richieste di una lavoratrice che, successivamente alla cessazione del rapporto di lavoro con l’impresa, aveva chiesto di i) poter accedere ad informazioni riguardanti il rapporto di lavoro e di ii) cancellare i dati personali a lei riferiti dal sito Internet della Società.

Le condizioni del trattamento lecito dei dati

La vigente normativa in materia di trattamento dei dati personali stabilisce che l’interessato (il lavoratore) ha diritto di ottenere dal titolare del trattamento (il datore di lavoro):

l’accesso ai dati personali nonché ad informazioni relative al trattamento effettuato. In particolare, il titolare del trattamento è tenuto a fornire “copia dei dati personali oggetto di trattamento” ai sensi dell’art. 15, parr. 1 e 3 del Reg. (UE) 2016/679 (GDPR);
la cancellazione dei dati personali senza ingiustificato ritardo (art. 17, par. 1 del GDPR).

In caso di mancato ottemperamento della richiesta, il titolare del trattamento è tenuto ad informare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta:

a) dei motivi dell’inottemperanza;

b) della possibilità per l’interessato di proporre reclamo all’Autorità ovvero ricorso giurisdizionale (art. 12, par. 4 del GDPR).

Il caso di specie

Nel caso di specie, il Garante ha rilevato che, a seguito della cessazione del rapporto di lavoro, la lavoratrice aveva esercitato formalmente il diritto all’accesso ai dati contenuti nell’ultimo contratto di lavoro stipulato con la Società, richiedendo al tempo stesso la cancellazione dei dati a sé riferiti e ancora presenti sul sito Internet aziendale (foto, numero di cellulare e indirizzo e-mail aziendale).

A seguito dell’omesso riscontro alla richiesta da parte della Società per un periodo superiore ad un mese dalla suddetta formale richiesta, la lavoratrice ha presentato reclamo presso l’Autorità Garante.

Diritto d’accesso ai dati personali

Se certamente appare condivisibile a chi scrive la posizione dell’azienda che aveva giustificato l’omesso riscontro all’istanza della lavoratrice, sostenendo che il contratto di lavoro era già – per ovvie ragioni – nella sua disponibilità, non lo è quanto argomentato dall’Autorità circa la mancanza di limitazioni rispetto alle informazioni oggetto di richiesta di accesso da parte dell’interessato prevista dall’attuale normativa.

Infatti, secondo gli orientamenti dell’Autorità (da ultimo, si veda il provvedimento 11 settembre 2025, n. 571), il lavoratore interessato può esercitare il predetto diritto d’accesso anche in relazione a dati che dovrebbero già essere nella sua disponibilità.

Tale posizione, oltre a non trovare riferimento specifico nell’attuale impianto normativo, che non limita ma nemmeno amplia ingiustificatamente tale diritto dell’interessato, appare oltremodo garantista e perfettamente in linea con la tendenza ultima del nostro Garante volta

da un lato a limitare la possibilità di retention dei dati da parte dei datori di lavoro

e

dall’altro a tutelare le posizioni dei lavoratori

in un contesto nel quale nelle decisioni assunte dall’Autorità sono chiaramente visibili aspetti discrepanti, se non addirittura contradditori tra loro, che minano il giusto contemperamento di interessi contrapposti (del datore di lavoro e del lavoratore).

Diritto alla cancellazione dei dati personali

Con riguardo, invece, al diritto alla cancellazione dei dati personali dell’interessato, si evidenzia che l’omessa cancellazione dei dati della lavoratrice dal sito Internet aziendale per oltre un mese dalla formale richiesta – ha di fatto configurato una chiara violazione:

del citato art. 17 del GDPR;
del principio di esattezza di cui all’art. 5, par. 1, lett. d) del GDPR, in forza del quale il titolare è tenuto a trattare dati personali “esatti e, se necessario, aggiornati”. In tal senso, “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.

L’intervento dell’Autorità

Ad esito del procedimento, l’Autorità ha accertato che la condotta della Società costituisce violazione degli artt. 5, par. 1, lett. d), 12, 15 e 17 del GDPR.

Risultano altresì essere violati i generali principi di i) liceità, ii) correttezza e iii) trasparenza (art. 5, par. 1 lett. a) del GDPR).

In ragione delle violazioni accertate, il Garante ha disposto l’applicazione di una sanzione amministrativa pecuniaria in misura pari a € 3.000,00 (art. 83, par. 5, lett. a) e b) del GDPR e art. 18 della Legge n. 689/1981).

Share This

Tags

AG

Lascia un commento Annulla risposta

Related

Popular

1

Accomodamenti ragionevoli – Linee guida in materia di collocamento mirato delle persone con disabilità

2

Lavoratori sportivi e regime fiscale speciale per “impatriati”

3

Regime fiscale impatriati: esclusi i forfetari

4

Stop alla certificazione di parità per le aziende che violano le regole sui congedi dei genitori o le priorità nel lavoro agile

5

Account di posta aziendale – Monitoraggio e controlli difensivi

6

Effetti della malattia durante il periodo di prova

- Advertisement -