A novembre 2023, il Garante ha emanato tre diversi provvedimenti che sanzionano rispettivamente Autostrade per l’Italia, Amazon Italia Transport e Cluster S.r.l.
Vediamo più da vicino di cosa si tratta.
I provvedimenti del Garante:
I casi di Autostrade e Amazon sono simili: entrambe le aziende non hanno dato tempestivo e motivato riscontro a delle richieste di accesso ai dati da parte dei dipendenti ed ex dipendenti.
Autostrade per l’Italia
Il caso di Autostrade per l’Italia ha preso il via dai reclami di 50 dipendenti che chiedevano l’accesso ai loro fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle buste paga. L’azienda, però, non ha mai risposto alle richieste.
Tra i dipendenti e l’azienda erano già in corso dei procedimenti legali riguardo le modalità di pagamento della liquidazione e Autostrade ha affermato che il mancato riscontro ai dipendenti era un modo per non compromettere la propria difesa. Inoltre, ha sottolineato come i dipendenti avrebbero comunque potuto accedere ai dati richiesti tramite una piattaforma aziendale.
Tuttavia, secondo il Garante, Autostrade avrebbe comunque dovuto dare un riscontro alle richieste dei dipendenti – anche negativo – o indicare loro il modo di accedere ai dati tramite la piattaforma informatica. Per questo motivo, oltre a dover adempiere alla richiesta di accesso ai dati, Autostrade dovrà pagare anche una sanzione di 100.000 euro.
Amazon Italia Transport
Anche il caso di Amazon Italia Transport è partito dal reclamo di un ex dipendente, che richiedeva all’azienda una copia dei documenti riguardanti il rapporto di lavoro.
L’azienda ha dichiarato di non aver risposto alla richiesta perché troppo generica e, dopo l’avvio dell’indagine del Garante, ha inviato tutti i documenti richiesti. Tuttavia, la risposta di Amazon è avvenuta solo dopo l’intervento del Garante e oltre il limite di 30 giorni previsto dal GDPR, quindi l’Autorità ha multato l’azienda 40.000 euro.
Cluster S.R.L.
Infine, una sanzione di 18.000 euro è stata emanata per Cluster S.R.L., una società organizzatrice di corsi di formazione.
In particolare, la società aveva utilizzato i dati personali, sanitari e giudiziari di un uomo deceduto e li aveva resi disponibili online, come materiale didattico per un corso formativo per medici psichiatri.
La madre dell’uomo si è rivolta al Garante, che oltre a multare la società, ha ribadito che i dati delle persone decedute sono comunque oggetto di tutela delle normative sulla privacy e devono essere trattati con lo stesso tipo di confidenzialità. In questo caso, i dati dell’uomo non erano accessibili solo a chi partecipava al corso, ma a tutti quelli che avevano accesso all’URL.
📬 Vuoi rimanere sempre aggiornato sulle ultime novità?
C’è la nostra newsletter: ogni mese ricevi le notizie più importanti sul mondo della privacy e della protezione dei dati!
Chi siamo
Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.