Mancata consegna di certificati professionali

La mancata tempestiva consegna al dipendente dei certificati professionali conseguiti costituisce violazione della privacy.

1. I fatti

Un ex dipendente in prova di Amazon Italia Logistica presentava un reclamo al Garante per la protezione dei dati personali, nel quale faceva presente che la società aveva compiuto un trattamento dei suoi dati personali illecito. In particolare, il reclamante sosteneva di aver inviato un’istanza di esercizio del diritto di accesso ai propri dati con cui aveva chiesto al proprio datore di lavoro di ottenere i certificati professionali che aveva ottenuto durante il rapporto di lavoro che si era svolto con la società (precisamente il certificato PES e PAV, il certificato relativo al pallet elevator, quello relativo alla conduzione e programmazione del robot pallettizzatore, quello relativo all’accesso autorizzato in area scarico merci Yard e quello quale addetto alla manutenzione drive e conduzione robot ai piani), senza tuttavia aver ricevuto alcuna risposta in merito.
All’esito del reclamo, il Garante inviava una richiesta di chiarimenti alla società.
Quest’ultima sosteneva che il reclamante avesse inviato una prima istanza con la richiesta di ricevere il modello UNIEMENS, che era stata tempestivamente riscontrata dalla società con l’invio del modello richiesto. Due giorni dopo, il reclamante formulava una nuova richiesta, questa volta relativa ai certificati oggetto del reclamo e dopo soli 7 giorni senza aver ricevuto riscontro, sollecitava l’invio dei suddetti certificati ed aggiungendo anche una nuova richiesta relativa ad un ulteriore modello UNIEMENS del mese di luglio 2020. Detto sollecito però veniva inviato dal reclamante ad una dipendente che non aveva potere gestionale e quindi non dava seguito alla richiesta. Soltanto dopo che l’Ufficio Risorse Umane della società riceveva l’inoltro del sollecito dalla dipendente, provvedeva ad inviare al reclamante il secondo modello UNIEMENS.
Per quanto riguardava il certificato PES e PAV, la società faceva presente che lo stesso non era stato inviato, ma che lo inviava contestualmente al reclamante. Mentre per gli altri certificati richiesti, la società rilevava che gli stessi erano materialmente inesistenti. Infatti, soltanto il certificato PES e PAV attesta la partecipazione ad un corso organizzato da un ente certificatore e quindi prevedono il rilascio di un attestato, mentre gli altri sono tutti dei corsi interni organizzati dalla società, con valenza esclusivamente interna all’azienda e per i quali non è previsto il rilascio di alcun certificato/attestato.
La società giustificava il mancato riscontro alla richiesta del reclamante, con l’invio del certificato PES e PAV nonché con la comunicazione dei motivi che rendevano impossibile l’invio degli altri certificati, sostenendo che ciò era dipeso per una “sfortunata contingenza negativa”.
In particolare, il mancato riscontro era dipeso, da un lato, dal fatto che il reclamante aveva formulato la propria richiesta senza utilizzare l’indirizzo email appositamente dedicato all’esercizio dei diritti privacy previsto nell’informativa ex art. 13 GDPR; dall’altro lato, dal fatto che il reclamante non aveva qualificato la sua richiesta come “istanza di esercizio dei diritti ex art. 15 GDPR”.    
Potrebbero interessarti anche:

• Viola la privacy il Comune che inoltra un’email della dipendente al datore di lavoro
• La tutela giuridica del diritto alla privacy

2. Le valutazioni del Garante

Il Garante ha ritenuto che dall’istruttoria svolta è emerso che la società non ha dato riscontro idoneo alla istanza di accesso ai sensi dell’art. 15 del GDPR formulata dal reclamante e relativa ai propri “certificati professionali” che aveva conseguito durante il periodo di lavoro presso la società.
Infatti, nonostante la società – a seguito dell’istanza presentata dal proprio dipendente – abbia inviato a quest’ultimo il secondo modello UNIEMENS, in quella sede ha omesso di inviare il certificato PES e PAV, né ha spiegato al reclamante i motivi per cui non poteva adempiere alla richiesta con riferimento agli atri “certificati professionali”.
Secondo il Garante ciò configura una condotta in violazione della normativa in materia di privacy.
Infatti, la normativa in materia di trattamento dei dati personali, con riferimento all’ipotesi in cui il titolare del trattamento non possa consentire l’esercizio dei diritti riconosciuti dal Regolamento all’interessato, tra cui il diritto di accesso, prevede che il titolare informi l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Le giustificazioni addotte dalla società di non aver dato il riscontro all’istanza di esercizio dei diritti formulata dall’interessato, in quanto la medesima era stata inviata senza l’uso dell’apposito indirizzo email o senza il riferimento alla tipologia di richiesta formulata, non sono idonee a superare la violazione commessa.
A tal proposito, il Garante, per quanto riguarda il fatto che il reclamante abbia inviato le richieste per l’esercizio del diritto di accesso ad un indirizzo diverso da quello indicato dalla società nella informativa privacy e che l’e-mail di sollecito sia stata inviata dal reclamante a una dipendente priva di potere gestionale, ha ritenuto, da un lato, che la società non ha provato che l’informativa sia stata rilasciata al reclamante e che, comunque, nella stessa informativa è prevista la possibilità di inviare le richieste anche al dipartimento risorse umane; dall’altro lato, che l’istanza è stata comunque inoltrata al Dipartimento risorse umane, il quale, pertanto, ne era a conoscenza.
Per quanto riguarda, invece, la mancanza del riferimento all’art. 15 GDPR all’interno della richiesta del reclamante, il Garante ha affermato che non grava sugli interessati l’onere di specificare la base giuridica della richiesta e qualora il titolare del trattamento abbia dei dubbi in merito al diritto che l’interessato intende esercitare con la richiesta deve chiedere all’interessato stesso di specificarne l’oggetto.
 Infine, il Garante ha ricordato che le recenti linee guida sul diritto di accesso prevedono che sugli interessati non grava l’obbligo di adottare un determinato formato per presentare le istanze di esercizio del diritto di accesso.

3. La decisione del Garante

Il Garante per la protezione dei dati personali ha quindi ritenuto illecito il trattamento dati compiuto dalla società, in considerazione del mancato riscontro alla richiesta dell’ex dipendente di avere accesso ai “certificati professionali” acquisiti durante lo svolgimento del rapporto di lavoro.
In considerazione di ciò, il Garante ha ritenuto opportuno infliggere al titolare del trattamento una sanzione amministrativa pecuniaria, che, anche in ragione delle condizioni economiche della società, ha ritenuto di quantificare in €.20.000 (ventimila).

>>>Per approfondire<<<
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina.