Il Caso Groupharma: una lettura del provvedimento del Garante Privacy sui diritti degli interessati

Sintesi

Il Provvedimento del 26 febbraio 2026 (n. 121) emesso dall'Autorità Garante per la Protezione dei Dati Personali offre l'occasione per una disamina profondamente critica sulle prassi aziendali negligenti in tema di privacy. La vicenda trae origine dal reclamo di un'ex collaboratrice nei confronti della società Groupharma s.r.l.s., il cui rapporto di lavoro si era concluso in data 1° agosto 2024. Tramite comunicazione PEC del 12 settembre 2024, l'interessata aveva legittimamente esercitato i propri diritti, richiedendo la copia del proprio contratto di collaborazione e la cancellazione dei dati personali (fotografia, recapito telefonico e indirizzo e-mail) ancora illecitamente presenti nella sezione "Chi siamo" del sito web aziendale. A fronte di una richiesta formale chiara e inequivocabile, la società ha optato per un ingiustificabile silenzio, omettendo qualsivoglia riscontro.

Le argomentazioni difensive

Nel corso dell'istruttoria, l'impianto difensivo della Società si è rivelato non solo carente, ma giuridicamente infondato. A propria discolpa, Groupharma ha pretestuosamente sostenuto che la mancata consegna del contratto derivasse dal fatto che tale documento fosse "già ampiamente in possesso dell'interessata" in quanto originariamente firmato sotto forma di modulo standard .

Tale argomentazione costituisce un macroscopico errore di diritto: l'art. 15 del Regolamento (UE) 2016/679 (GDPR) non subordina in alcun modo l'esercizio del diritto di accesso alla novità delle informazioni o all'assenza di una precedente disponibilità materiale da parte dell'interessato. Altrettanto censurabile è la giustificazione addotta per il mancato riscontro e la tardiva cancellazione dei dati dal sito web, imputati a una generica e confusa "riorganizzazione aziendale", a problematiche con i nuovi fornitori web e a una redistribuzione delle competenze interne a seguito del licenziamento.

Nota. Le motivazioni meramente organizzative interne non possono mai assurgere a esimente per la compressione dei diritti inderogabili garantiti dal GDPR .

Le violazioni accertate

Il Garante ha inequivocabilmente accertato la violazione degli artt. 5, par. 1, lett. a) e d), 12, 15 e 17 del GDPR. La condotta aziendale è risultata in palese contrasto con i principi generali di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR).

Il mantenimento dei dati della ex collaboratrice sul sito istituzionale per oltre (1) un mese dopo la cessazione del rapporto configura, in aggiunta, una manifesta lesione del principio di esattezza dei dati (art. 5, par. 1, lett. d) GDPR), in base al quale il titolare deve cancellare tempestivamente i dati non più necessari rispetto alle finalità del trattamento.

Sotto il profilo procedurale e sanzionatorio, l'Autorità ha punito la "gravissima" inottemperanza agli obblighi imposti dall'art. 12 del Regolamento: il titolare del trattamento è tenuto a fornire un riscontro alle richieste "senza ingiustificato ritardo e, comunque, al più tardi entro un mese", dovendo parimenti informare l'interessato, tassativamente entro le medesime tempistiche, dei motivi di un'eventuale inottemperanza per permettergli il ricorso all'autorità di controllo. L'atteggiamento totalmente omissivo del titolare rappresenta la negazione totale del precipuo obbligo di agevolare l'esercizio dei diritti degli interessati.

Profili sanzionatori

L'esito del procedimento è sfociato in un'ordinanza ingiunzione con cui è stata irrogata a Groupharma s.r.l.s. una sanzione amministrativa pecuniaria pari a 3.000 euro, unitamente alla gravosa sanzione accessoria della pubblicazione del provvedimento sul sito web del Garante.

L'Autorità ha qualificato il livello di gravità della violazione come "medio", valutando il grado di responsabilità di un titolare che ha palesemente disatteso il più basilare obbligo di diligenza previsto dall'ordinamento e la peculiarità dello squilibrio di poteri tipico del rapporto di lavoro. Solo la modesta entità dei ricavi societari palesata nell'ultimo bilancio, unita a una cooperazione di fatto "tardiva" mostrata solo a seguito dell'attivazione dell'Autorità, ha scongiurato l'applicazione di un tetto sanzionatorio notevolmente più afflittivo.

Questo caso impone un severo monito a tutti gli operatori economici: l'inerzia dinanzi all'esercizio dei diritti in materia di privacy è una strategia perdente e sanzionabile. Ignorare una PEC contenente una richiesta di accesso o cancellazione, trincerandosi dietro a prassi o giustificazioni organizzative superficiali, espone l'azienda non soltanto a stringenti sanzioni pecuniarie, ma a un gravissimo e tangibile danno reputazionale derivante dalla pubblicazione a perenne memoria dell'illecito compiuto.

Verrai reindirizzat* alla nostra pagina "Contattaci"

Rimani in contatto con noi! IscriviTi alla nostra Newsletter.

www.himmeladvisors.it/newsletter

Immagine di copertina

Copyright: Foto di Jan van der Wolf