Il Garante per la protezione dei dati personali, con il provvedimento n. 121 del 26 febbraio 2026, si è espresso sul diritto alla cancellazione dei dati personali dal sito aziendale in modo tempestivo e sul diritto di accesso che va rispettato senza ritardi anche qualora riguardi dati già in possesso dell’interessato.

In particolare, una lavoratrice licenziata aveva rivolto all’azienda una duplice richiesta: da un lato, la cancellazione dal sito aziendale dei propri dati personali (ossia fotografia, indirizzo e-mail e numero di telefono) e, dall’altro, l’accesso al proprio contratto di collaborazione. Non avendo ricevuto un riscontro tempestivo, l’ex dipendente si è rivolta al Garante per accertare la violazione dei diritti previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR). In effetti, da una parte, i suoi dati personali erano rimasti pubblicati sul sito per circa un mese dopo la cessazione del rapporto, nonostante la richiesta di rimozione; dall’altra, non le era stato fornito il contratto richiesto.

L’azienda ha successivamente giustificato la sua condotta col fatto che, per quanto riguarda la cancellazione dei dati personali, il ritardo era dovuto ad una riorganizzazione aziendale e ridistribuzione delle competenze verificatasi contestualmente alla richiesta della dipendente; sul tema dell’accesso dei dati, invece, l’azienda minimizzava la gravità del ritardo adducendo il fatto che il contratto era già nella disponibilità della lavoratrice firmataria.

Il Garante nella fattispecie riafferma che l’interessato ha diritto di ottenere l’accesso ai dati personali (art. 15 del GDPR) e la cancellazione degli stessi senza ingiustificato ritardo (art. 17 del GDPR). A nulla rileva il fatto che l’interessata doveva essere già in possesso dei dati richiesti in quanto il Regolamento non prevede limiti in ordine alle informazioni che possono essere oggetto di esercizio del diritto. Sul punto viene anche richiamato un precedente caso concreto in cui il Garante si è espresso allo stesso modo (Provvedimento n. 571 dell’11 settembre 2025).

La pronuncia è interessante anche sotto il profilo del principio di esattezza per cui i dati personali trattati devono essere “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5 del GDPR). Infatti, i dati della lavoratrice erano rimasti immutati sul sito aziendale per circa un mese dopo il termine del rapporto.

Pertanto, in conformità al GDPR, l’azienda è tenuta a rispondere tempestivamente alle eventuali richieste di accesso presentate dagli interessati, nonché a provvedere senza ritardo alla cancellazione dei dati personali. Ciò vale a maggior ragione nei casi di cessazione del rapporto di lavoro, quando tali dati non risultano più pertinenti rispetto alle finalità per cui erano stati raccolti e trattati. Un simile obbligo risponde non solo all’esigenza di tutelare i diritti degli interessati, ma anche al rispetto del principio di esattezza, al quale l’azienda deve attenersi nei confronti di chiunque possa accedere a tali informazioni, come ad esempio gli utenti del sito aziendale interessati a conoscere l’organico della società.