Con Provvedimento del 6 luglio 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di un’azienda di servizi di pubblica utilità (la “Società”), stabilendo che il datore di lavoro ha l’obbligo di consentire ad un lavoratore di accedere a tutti i suoi dati personali, compresi quelli contenuti nella relazione prodotta dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate dalla Società per finalità disciplinari.
I fatti
La vicenda trae origine a seguito del reclamo presentato al Garante da un dipendente che non riceveva integrale riscontro alle molteplici richieste di accesso ai propri dati personali presentate alla Società datrice dopo aver ricevuto una contestazione disciplinare, cui faceva seguito il licenziamento del lavoratore, che conteneva dei “puntuali riferimenti” a condotte estranee all’attività lavorativa vera e propria e che quindi denotavano un possibile controllo “contrario alle norme vigenti (condotta non iure) e lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius) e, conseguentemente l’inutilizzabilità dei dati raccolti”.
La Società motivava il diniego all’accesso dei dati personali trattati sostenendo che le richieste presentate dal lavoratore erano troppo generiche e che lo stesso avrebbe dovuto indicare nel dettaglio le informazioni cui voleva accedere.
Emergeva, inoltre, che solamente in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento dinanzi alle competenti autorità giudiziarie, il dipendente aveva potuto conoscere dell’esistenza e del contenuto della relazione investigativa.
L’esito dell’attività istruttoria
All’esito dell’attività istruttoria, l’Autorità ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:
- dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), nella parte in cui ha subordinato il riscontro alla richiesta di accesso presentata dal lavoratore all’indicazione dettagliata dei documenti e delle informazioni cui voleva accedere. La richiesta di esercitare il diritto di accesso, diritto riconosciuto a tutti i soggetti interessati da un trattamento di dati personali dall’articolo in commento, deve essere intesa in termini generali, comprendendo tutti i dati personali riguardanti l’interessato, come specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati (EDPB, 28 marzo 2023). Inoltre, ricorda il Garante, qualora i dati non siano raccolti direttamente presso l’interessato, il Titolare del trattamento deve indicare la loro origine.
Nel caso di specie, la Società avrebbe dovuto fornire tutti i dati raccolti con la relazione investigativa, considerato che la stessa conteneva anche informazioni relative al lavoratore ma che non erano state menzionate nella contestazione disciplinare;
- dell’art. 12 del GDPR, nella parte in cui il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;
- dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. La Società, nei riscontri forniti al lavoratore, non aveva infatti specificato l’origine dei dati personali utilizzati per la contestazione disciplinare.
La decisione del Garante
Per tutte le ragioni sopra esposte, il Garante ha rilevato l’illiceità del trattamento effettuato dalla Società in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del GDPR; ha ribadito che “salvo diversa richiesta esplicita dell’interessato, la richiesta di esercitare il diritto di accesso è intesa in termini generali, comprendendo tutti i dati personali che li riguardano”; ha, pertanto, comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 10mila euro ed ha disposto la pubblicazione del Provvedimento sul proprio sito web.
Altri insights correlati:
