Know-how: può limitare la richiesta dell’interessato di avere copia dei propri dati personali?
Il Garante per la protezione dei dati personali (“Garante Privacy”) ha adottato un provvedimento sanzionatorio nei confronti di una società per violazione della normativa privacy relativamente a una richiesta di accesso ai dati personali, formulata ai sensi dell’art. 15 Regolamento UE 2016/679 (“GDPR”).
La vicenda trae origine dalla richiesta formulata da un ex dipendente di avere accesso ai propri files e dati personali conservati nel computer aziendale; richiesta negata perché – a parere della società – questi dati riguardavano il know-how aziendale e quindi avrebbero potuto essere utilizzati per deviare clientela, raccogliere informazioni su segreti commerciali e industriali, elenchi clienti, preventivi, etc.
Il provvedimento è interessante perché offre lo spunto, per il Garante, di affermare come l’accesso ai dati personali possa essere limitato o negato in presenza di informazioni che, se divulgate, potrebbero compromettere gli interessi economici o commerciali di un’impresa. Questa tutela riguarda, in particolare, le informazioni che potrebbero rivelare dettagli su processi industriali, strategie di mercato, o altre conoscenze riservate che, se rese pubbliche, potrebbero danneggiare la competitività dell’azienda.
Tali limitazioni però, devono essere giustificate e proporzionate, garantendo che non si abusi di questo strumento per negare indiscriminatamente l’accesso ai dati. È il titolare quindi, a dovere effettuare, di volta in volta, un bilanciamento tra i diritti contrapposti (diritto alla protezione dei dati personali da un lato e protezione dei segreti aziendali dall’altro), adottando misure in grado di mitigare i diritti e le libertà altrui, quali la cancellazione delle informazioni eccedenti che non si riferiscono all’interessato.
Nel caso di specie, il Garante ha accertato come la richiesta formulata dall’istante non riguardasse affatto segreti aziendali ma solo dati “inerenti precedenti rapporti lavorativi, fotografie personali e di vita familiare, posta elettronica personale” (contenuti nel pc aziendale) e, pertanto, la società non avrebbe potuto invocare alcuna limitazione al diritto di accesso.
A ciò si aggiunga che il riscontro all’istanza era pervenuto dopo quasi due anni – quindi ben oltre il termine fissato dal GDPR – e, comunque, solo a seguito del reclamo e dell’apertura dell’istruttoria da parte del Garante Privacy. In conseguenza di ciò e delle altre violazioni riscontrate, il Garante ha ingiunto alla società il pagamento di una somma di € 10.000,00 (diecimila).