EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
18/10/2023 Il diritto all'informativa e il diritto di accesso ai dati personali
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Con provvedimento n. 403/2023, reso noto lo scorso 10 ottobre, il Garante ha deciso un reclamo che era stato presentato, nel 2020, da alcuni dipendenti nei confronti del loro datore di lavoro, titolare del servizio di lettura dei contatori di gas, luce e acqua.

I dipendenti hanno esercitato il diritto di accedere, ai sensi dell’ art. 15 del GDPR, ai dati sulla geolocalizzazione e, in particolare, ai dati delle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone fornito dal datore di lavoro.

Decidendo il reclamo e accertando la violazione del diritto di accesso, il Garante:

  • ha ingiunto al datore di lavoro di soddisfare le richieste di accesso, fornendo ai lavoratori i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e tutte le informazioni ricollegate a tale trattamento;
  • ha richiesto al datore di lavoro di comunicare le iniziative di attuazione a quanto disposto con l'ingiunzione e di fornire comunque riscontro adeguatamente documentato, entro il termine di 90 giorni dalla data di notifica del provvedimento (art. 157 del Codice);
  • ha infine disposto l’applicazione, al datore di lavoro, di una sanzione amministrativa pecuniaria, ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto di 20.000,00 euro (art. 58, par. 2, lett. i) Regolamento.

Dati sulla geolocalizzazione e dati personali

Il datore di lavoro, in qualità di titolare, ha trattato i dati relativi alla geolocalizzazione degli smartphone forniti ai lavoratori per lo svolgimento della prestazione lavorativa e, quindi, ha trattato i dati dei lavoratori: in particolare, la posizione geografica degli stessi nel momento della prestazione lavorativa per la quale era stata attivata la geolocalizzazione. Non c’è dubbio, infatti, che dalla geolocalizzazione degli smartphone in uso ai lavoratori è derivata, indirettamente, la geolocalizzazione dei lavoratori stessi. Il trattamento dei dati delle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone fornito dal datore di lavoro si sostanzia in un trattamento di dati personali dei lavoratori e, in particolare, dei dati della posizione geografica.

Al riguardo, rilevano:

  • la definizione di “dato personale” che coincide con “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), fermo restando che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1 del Regolamento).
  • la definizione di “trattamento” che coincide con “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, n. 2, del Regolamento).

Il diritto di accedere ai dati e l’effettiva soddisfazione di tale diritto mediante consegna di copia dei dati richiesti

Fermo restando che il datore di lavoro ha trattato i dati della posizione geografica dei lavoratori, il diritto dei lavoratori medesimi, in qualità di interessati, di accedere ai dati, ai sensi dell’articolo 15 GDPR, consiste nel diritto di:

  • ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
  • di ottenere, in caso di conferma, l'accesso ai dati personali e alle informazioni indicate nell’articolo 15 medesimo, mediante acquisizione di copia dei dati medesimi.

Il titolare del trattamento è obbligato a fornire una copia dei dati personali oggetto di trattamento e, in caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.

La violazione del diritto di accedere ai dati nel caso di consegna di dati non adeguati a soddisfare la richiesta dell’interessato

Nel caso in esame, il titolare del trattamento, datore di lavoro, non ha fornito copia dei dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e non ha fornito neppure copia di tutte le informazioni ricollegate al trattamento e richieste dai lavoratori.

In particolare, il datore di lavoro non ha fornito adeguato riscontro alle istanze di accesso, chiare e analitiche, dei dipendenti che, al fine di verificare la correttezza della propria busta paga, avevano chiesto di conoscere i dati e le informazioni raccolti attraverso il sistema di geolocalizzazione installato sullo smartphone fornito dal datore di lavoro agli operatori.

L’accesso ai dati e alle informazioni della geolocalizzazione era stato, infatti, richiesto dai lavoratori in quanto tali dati e informazioni erano stati utilizzati dal datore di lavoro per elaborare e quantificare:

- i rimborsi chilometrici;

- la retribuzione mensile oraria.

L’accesso veniva richiesto anche:

- alla procedura utilizzata dal datore di lavoro per calcolare il compenso dovuto.

Se non chè il datore di lavoro non ha comunicato ai lavoratori i dati trattati attraverso il GPS e neppure le informazioni relative alla procedura, limitandosi ad indicare soltanto:

  • le modalità e gli scopi per i quali venivano trattati.

In particolare il datore di lavoro ha trasmesso:

  • le Informative ex art. 13 GDPR debitamente sottoscritte dai lavoratori;
  • il Regolamento relativo al trattamento ed alle norme di sicurezza da osservare nell’impiego degli strumenti elettronici e non;
  • le Dichiarazioni di consenso al trattamento debitamente sottoscritte;
  • l’Indicazione dei dati utilizzati, con il relativo periodo di conservazione, nonché dei criteri atti a giustificarne l’utilizzo;
  • l’Indicazione del responsabile del trattamento dei dati personali.

In tale modo, tuttavia, il datore di lavoro non ha fornito quanto richiesto attraverso le istanze di accesso in modo completo ed esaustivo e, dall’altro lato, i documenti forniti ai lavoratori non hanno consentito di acquisire le informazioni richieste, pur essendo le istanze chiare e dettagliate. Infatti, il datore di lavoro, nei limiti dei dati conservati, avrebbe dovuto fornire ai lavoratori i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il gps dello smartphone. Ciò ha comportato la violazione dell’art. 12, par. 3 del Regolamento, il quale dispone che:

  • il titolare del trattamento è tenuto a fornire all’interessato, che esercita uno dei diritti riconosciuti dal Regolamento, le informazioni richieste dallo stesso.

Differenza tra diritto all’informativa e diritto di accesso ai dati personali: orientamento del Garante e dell’EDPB

In proposito, il Garante ha rammentato che: “il diritto riconosciuto all’interessato di accedere ai propri dati oggetto di trattamento nonché alle informazioni previste dall’art. 15 del Regolamento, in applicazione dei principi di trasparenza e correttezza (art. 5, par. 1, lett. a) del Regolamento), non può ritenersi soddisfatto attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza alcun riferimento al trattamento effettuato nel concreto. Il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti ad esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili”.

In pratica:

  • il titolare, per riscontrare l’istanza di accesso, deve “adattare” quanto indicato in termini necessariamente generali nell’informativa o nel registro dei trattamenti alla specifica condizione dell’interessato, con riferimento alle concrete operazioni di trattamento effettuate nei confronti del richiedente.

Anche le Guidelines 01/2022 on data subject rights – Right of access, EDPB del 28 marzo 2023 stabiliscono che“nel contesto della comunicazione delle informazioni di cui all'articolo 15, tutte le informazioni sul trattamento di cui dispone il titolare del trattamento devono pertanto essere aggiornate e adattate alle operazioni di trattamento effettivamente svolte nei confronti dell'interessato che presenta la richiesta. Pertanto, il rinvio all’informativa privacy generale (privacy policy) non sarebbe un mezzo sufficiente per consentire al titolare del trattamento di fornire le informazioni di cui all'articolo 15, paragrafo 1, lettere a) -h), e (2), a meno che le informazioni "su misura e aggiornate" non coincidano con le informazioni fornite all’inizio del trattamento”.

Differenza tra diritto all’informativa e diritto di accesso ai dati personali: orientamento della Corte di Giustizia

Infine va dato conto, in materia, dell’orientamento della Corte di Giustizia dell’Unione europea (sentenza CGUE del 22 giugno 2023, C-579/21) in base al quale, testualmente:

  • il diritto di accesso ai sensi dell’art. 15 del Regolamento è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornire all’interessato;
  • l’art. 15, paragrafo 1, del Rgpd costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato;
  • il diritto di una persona di accedere ai propri dati personali e alle altre informazioni menzionate all’articolo 15, paragrafo 1, di detto regolamento ha lo scopo, anzitutto, di consentire a tale persona di essere consapevole del trattamento e di verificarne la liceità;
  • tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione (“diritto all’oblio”) e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto dall’art. 21 del RGPD, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto dagli articoli 79 e 82 del RGPD;
  • l’articolo 15, paragrafo 1, del GDPR costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato.

Categorie
News
Parole chiave
Diritto di accesso
Dati personali
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits