La vicenda trae origine da un reclamo, presentato da un gruppo di lavoratori avverso il proprio datore di lavoro, a causa dell’impossibilità di questi dipendenti di esercitare in modo pieno e completo il diritto di accesso così come formulato dall’art. 15 del GDPR. In particolare, i soggetti coinvolti necessitavano di avere la conoscenza dei dati relativi alla geo-localizzazione presenti sui propri smartphone ed utilizzati nell’ambito della strumentazione, messa a disposizione dalla società, utilizzata per leggere i contatori di luce, gas e acqua dislocati sul territorio: il sistema di geo-localizzazione in dotazione, infatti, permetteva al datore di lavoro di monitorare “l’individuazione del tragitto da effettuare per giungere ai contatori, nonché la verifica del luogo esatto dell’effettuazione delle letture” e, conseguentemente, di monitorare gli stessi spostamenti dei lavoratori. Al fine, dunque, di verificare la correttezza dei rimborsi chilometrici ricevuti e della retribuzione mensile oraria, nonché per verificare il criterio logico di elaborazione di tali dati ed il dettaglio delle informative sul trattamento dei dati e degli strumenti attraverso cui la società trattava tali dati, i dipendenti esercitavano in tal senso una specifica richiesta di accesso ai dati.
In seguito alle verifiche predisposte, il Garante accertava come la società, pur riscontrando formalmente la richiesta predetta attraverso l’invio di policy per la gestione dei terminali GPS e delle relative informative sottoscritte dai dipendenti, teneva una condotta non conforme alla disciplina in materia di protezione dei dati, poiché non forniva un riscontro idoneo alle istanze presentate dai reclamanti ma solo informazioni del tutto limitate. Rileva l’Autorità come “la Società non ha fornito in modo completo quanto richiesto attraverso le istanze dei reclamanti né si ritiene che i documenti forniti dalla società contenessero in modo esaustivo le informazioni stesse, nonostante la chiarezza e l’analiticità delle istanze” limitandosi la società stessa a “indicare le modalità e le finalità del trattamento dei dati relativi alla geo-localizzazione”. Ciò posto, si rammenta allora che il diritto riconosciuto agli interessati di accedere ai propri dati non si esaurisce nel mero rinvio ai contenuti delle informative ma deve essere necessariamente adattato dal Titolare alle operazioni di trattamento effettivamente svolte nei confronti dell’interessato che presenta la richiesta. Osserva, peraltro, l’Autorità come, anche qualora la società non avesse ritenuto di poter soddisfare pienamente le richieste di esercizio del diritto di accesso per mancanza di tali dati, circostanza più volte rappresentata dalla stessa nelle proprie difese, questa avrebbe ben dovuto fornire i motivi specifici per i quali non era in grado di soddisfare le istanze, così come formulate dai lavoratori. Una superficialità, quella del riscontro generico, costata davvero cara al datore di lavoro.
