Il diritto di accesso ai dati del lavoratore dipendente
Garante Privacy – Provvedimento 7 marzo 2024, n. 137
A prescindere dal motivo della richiesta, il lavoratore ha sempre diritto di accedere ai propri dati conservati dal datore di lavoro. Questo è quanto chiarito dall'Autorità Garante per la protezione dei dati personali con il provvedimento n. 137 del 7 marzo 2024.
Il caso. Con reclamo presentato all'Autorità Garante per la protezione dei dati personali, la ex dipendente di un istituto di credito segnalava il non idoneo riscontro ricevuto dall'ex datore di lavoro in relazione alla propria istanza di esercizio dei diritti ex art. 15 GDPR.
Nello specifico, l'istanza era volta ad ottenere "l'accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca".
La reclamante lamentava che il riscontro fornito dalla Banca non fosse idoneo, in quanto consistente in una "comunicazione ed elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare" mancando delle ulteriori informazioni in base alle quali le era stata irrogata la sanzione disciplinare. Solo a seguito dell'avvio dell'istruttoria da parte dell'Autorità, l'istituto di credito consegnava all'ex dipendente l'ulteriore documentazione contenuta nel fascicolo.
L'analisi del Garante. Nello specifico, la richiesta aveva ad oggetto la corrispondenza intrattenuta dalla banca con una terza persona, che lamentava l'illecita comunicazione di informazioni riservate del marito correntista alla reclamante, che le aveva utilizzate nell'ambito di un procedimento giudiziario.
La banca, nelle note di riscontro al Garante, sosteneva di non aver fornito all'ex dipendente tale documentazione per tutelare il diritto di difesa e la riservatezza dei terzi coinvolti, nonché per l'assenza di interesse all'accesso da parte della reclamante.
A seguito dell'attività istruttoria, il Garante ha osservato che, in via generale, il diritto di accesso ha lo scopo di consentire all'interessato di avere il controllo sui propri dati personali e di verificarne l'esattezza.
Tale diritto, tuttavia, non può essere negato o limitato a seconda della finalità della richiesta. Infatti, dalla lettura del combinato disposto degli artt. 12 e 15 del GDPR non risulta la necessità per gli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né risulta riconosciuta al titolare del trattamento la possibilità di chiedere i motivi della richiesta.
Tale interpretazione, prosegue il Garante, è stata chiarita anche dall'EBDP mediante l'approvazione delle Linee guida sul diritto di accesso ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia.
Pertanto, posto che la richiesta della reclamante di accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare che la riguarda è lecita, l'Autorità ha rilevato che la sua evasione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi, tra l'altro non previsti dal legislatore.
La sanzione. L'Autorità Garante della protezione dei dati personali, con il provvedimento n. 137 del 7 marzo scorso, ha sanzionato la banca per 20.000 euro. Il Garante nell'irrogare la sanzione ha tenuto conto della natura, gravità e durata della violazione, ma anche dell'assenza di precedenti analoghi.