M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

L’esercizio del diritto di accesso nei confronti del datore di lavoro in concomitanza con l’irrogazione di una sanzione disciplinare.

(Garante per la protezione dei dati personali, provvedimento del 7 marzo 2024, n. 10007853).

Con provvedimento del 7 marzo 2024, n. 10007853, il Garante per la Privacy italiano è tornato ad esprimersi in materia di esercizio del diritto di accesso da parte del dipendente ai propri dati personali detenuti dal datore di lavoro, specificando l’eventuale rilevanza che un procedimento disciplinare in atto potrebbe acquisire ed i requisiti per l’adempimento del datore di lavoro.

Nel caso di specie l’ex dipendente di una società, ricevuta la comunicazione dell’avviamento di un procedimento disciplinare nei propri confronti, formulava istanza di accesso ai dati personali alla medesima riferiti contenuti nel relativo fascicolo personale. L’istanza, come chiaramente indicato dalla suddetta, risultava esplicitamente finalizzata a conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardavano aventi ad oggetto i fatti e i comportamenti confluiti nella sanzione disciplinare irrogata.

All’istanza ricevuta, il datore di lavoro dava riscontro con una comunicazione contenente l‘elencazione incompleta della sola corrispondenza intercorsa tra le parti avente ad oggetto il procedimento disciplinare in questione.

L’ex dipendente, ritenuto il riscontro ricevuto non idoneo a consentirle il corretto esercizio del diritto di accesso, presentava reclamo avanti al Garante per la protezione dei dati personali italiano.

Il datore di lavoro, ricevuta notizia del formulato reclamo, contestava la fondatezza del medesimo. La società, in particolare, eccepiva anzitutto che il diritto di difesa della reclamante nel procedimento disciplinare non meritava alcuna tutela, dal momento che l’istanza era intervenutain un momento in cui, ormai, il procedimento non poteva più essere impugnato. In secondo luogo, la società ulteriormente osservava di aver correttamente adempiuto all’onere di garantire l’accesso alle informazioni; difatti, dal momento che tale diritto riguarda i dati personali e non anche i documenti che li contengono, l’elencazione dei singoli dati di cui era in possesso doveva ritenersi più che esaustiva.

L’Autorità Garante, tuttavia, all’esito dell’istruttoria svolta, ha accertato l’illiceità del trattamento effettuato dall’azienda.

In particolare il Garante ha ritenuto la condotta dell’ex datrice di lavoro non conforme alla disposizione di cui agli artt. 12, par. 3 e 4, e 15 del GDPR.

In merito alla prima questione sollevata dalla società, il Garante ha evidenziato che il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità”; tuttavia, ciò non comporta che tale diritto debba essere negato o limitato quando alla base della richiesta vi sia il perseguimento di un obiettivo diverso”. Pertanto, come ha chiarito anche l’EDPB nelle Linee Guida sul diritto di accesso, “il titolare del trattamento non dovrebbe negare l’accesso per motivi o il sospetto che i dati richiesti possano essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento o di controversia commerciale con il responsabile del trattamento) ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia”.

In conclusione, dunque, posto che la richiesta della reclamante di accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare che la riguarda è lecita, si rileva che la sua evasione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi, tra l’altro non previsti dal legislatore”.

In secondo luogo, con riferimento al formato con cui i dati devono essere resi disponibili all’istante, il Garante ha evidenziato che l’art. 12 GDPRattribuisce al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso”.

A tale finalità, l’EDPB nelle predette Linee Guida ha altresì precisato che “L’obbligo di fornire una copia [dei documenti] non va inteso come un diritto supplementare dell’interessato, ma come modalità di accesso ai dati, per cui, “fare una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere potrebbe, in alcuni casi, essere un modo per soddisfare questi requisiti. In altri casi le informazioni sono meglio comprese fornendo una copia dell’effettivo documento contenente i dati personali. Pertanto, la forma più adatta deve essere decisa caso per caso.

Stante quanto evidenziato, l’Autorità ha ritenuto che, “Rispetto al caso in esame, … la consegna della documentazione contenente i dati personali della reclamante sottesa al procedimento disciplinare costituiva l’unica modalità idonea a consentire l’accesso secondo i richiamati principi di correttezza e trasparenza.

Per tutte le ragioni esposte, dunque, il Garante ha accertato la fondatezza del reclamo presentato e ha irrogato alla società la sanzione pecuniaria di euro 20.000.

Data di pubblicazione
6.05.2024

Iscrizione Newsletter

Share