Il Garante per la Protezione dei Dati Personali, con il provvedimento n. 137 del 7 marzo 2024 ha sancito il diritto del lavoratore di accedere ai dati personali conservati dal datore di lavoro, a prescindere dal motivo della richiesta.
L’oggetto del reclamo presentato al Garante
Una signora, già dipendente di una banca, ha rivolto alla Banca, in qualità di “titolare del trattamento” un’istanza per l’esercizio dei diritti degli interessati. In particolare, ha richiesto di accedere al suo fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.
La signora, non trovando adeguata la risposta ha proposto un reclamo al Garante.
L’istanza, in particolare, era volta ad ottenere “l’accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca”.
La reclamante lamentava che il riscontro fornito dalla Banca, non fosse idoneo, in quanto consistente in una “comunicazione ed elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare” mancando delle ulteriori informazioni in base alle quali le era stata irrogata la sanzione disciplinare.
Il Garante ha chiesto chiarimenti alla Banca; in particolare, veniva richiesto di chiarire se tutti i dati contenuti nel fascicolo personale della reclamante, e in particolare gli atti relativi al procedimento disciplinare, fossero stati già comunicati all’istante e, in caso negativo, a fornirne copia.
La Banca rappresentava, preliminarmente, di aver dato immediato riscontro all’istanza di esercizio dei diritti formulata dalla reclamante “fornendo un’ampia congerie di informazioni relative ai trattamenti dei suoi dati personali, attraverso documentazione riferita al procedimento disciplinare a suo carico”, ritenendo, in tal modo, di averle consentito di conoscere le motivazioni all’origine del procedimento e delle valutazioni condotte.
Con la medesima nota, la Banca provvedeva a trasmettere ulteriore documentazione, riferita al procedimento disciplinare, “nella quale sono stati resi opportunamente illeggibili quei dati personali non riferiti alla sua persona, ai sensi dell’art. 15, comma 4, del GDPR”.
L’esisto dell’istruttoria
Dall’istruttoria, è emerso che la Banca, a fronte dell’istanza di esercizio dei diritti formulata dalla reclamante, ha fornito un riscontro parziale e, solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, ha consegnato l’ulteriore documentazione, contenuta nel fascicolo personale della reclamante.
La banca, nelle note di riscontro all’Autorità, ha sostenuto di non aver fornito all’ex dipendente tale documentazione per tutelare il diritto di difesa e la riservatezza dei terzi coinvolti, nonché per l’assenza di interesse all’accesso da parte della reclamante.
Alla luce di quanto sopra, la condotta della Banca è stata ritenuta non conforme alla disposizione dell’art. 12, par. 4, del Regolamento UE 679 del 2016 in quanto non ha né ottemperato alla richiesta dell’interessato e né ha provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo stata oggetto di specifica richiesta.
Il Garante ha osservato che, in via generale, il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza. Tale diritto, tuttavia, non può essere negato o limitato a secondo della finalità della richiesta. Infatti, in base alle disposizioni del Regolamento, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta. Tale interpretazione è stata chiarita anche dal Comitato europeo per la protezione dei dati (EDPB) mediante l’approvazione delle Linee guida sul diritto di accesso ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia.
Infine, con riferimento al formato con cui i dati devono essere resi disponibili all’istante e, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, deve osservarsi che, ai sensi dell’art. 12, del Regolamento “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Tale norma, correttamente interpretata, attribuisce al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso, nel rispetto di quanto previsto dall’art. 12 sopra richiamato.
Anche in tal caso, giova ricordare i chiarimenti resi dall’EBDP nelle Linee Guida sul diritto di accesso laddove, rispetto a tale particolare questione, si precisa che “L’obbligo di fornire una copia non va inteso come un diritto supplementare dell’interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida).
Rispetto al caso in esame, si osserva come la consegna della documentazione contenente i dati personali della reclamante sottesa al procedimento disciplinare costituiva l’unica modalità idonea a consentire l’accesso secondo i richiamati principi di correttezza e trasparenza.
Il Garante ha irrogato, nei confronti della banca, una sanzione amministrativa pecuniaria per 20mila euro, tenendo conto della natura, gravità e durata della violazione, ma anche dell’assenza di precedenti analoghi.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.