Categorie: Insights, Normativa · News, Rassegna stampa

Tag: GDPR


26 Set 2023

Autorità Garante: il dipendente ha diritto di accedere alla relazione dell’agenzia investigativa incaricata dal datore di lavoro

Con Provvedimento del 6 luglio 2023 u.s., l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato da parte di un’azienda di servizi di pubblica utilità (la “Società”), stabilendo che il datore di lavoro ha l’obbligo di consentire ad un lavoratore di accedere a tutti i suoi dati personali, compresi quelli contenuti nella relazione prodotta dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate dalla Società per finalità disciplinari.

I fatti

La vicenda trae origine a seguito del reclamo presentato al Garante da un dipendente che non riceveva integrale riscontro alle molteplici richieste di accesso ai propri dati personali presentate alla Società datrice dopo aver ricevuto una contestazione disciplinare, cui faceva seguito il licenziamento del lavoratore, che conteneva dei “puntuali riferimenti” a condotte estranee all’attività  lavorativa vera e propria e che quindi denotavano un possibile controllo “contrario alle norme vigenti (condotta non iure) e lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius) e, conseguentemente l’inutilizzabilità dei dati raccolti”.

La Società motivava il diniego all’accesso dei dati personali trattati sostenendo che le richieste presentate dal lavoratore erano troppo generiche e che lo stesso avrebbe dovuto indicare nel dettaglio le informazioni cui voleva accedere.

Emergeva, inoltre, che solamente in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento dinanzi alle competenti autorità giudiziarie, il dipendente aveva potuto conoscere dell’esistenza e del contenuto della relazione investigativa.

L’esito dell’attività istruttoria

All’esito dell’attività istruttoria, l’Autorità ha rilevato che la Società, nella sua qualità di Titolare del trattamento, ha effettuato il trattamento in violazione:

  • dell’art. 15 del Regolamento (UE) 2016/679 (il “GDPR”), nella parte in cui ha subordinato il riscontro alla richiesta di accesso presentata dal lavoratore all’indicazione dettagliata dei documenti e delle informazioni cui voleva accedere. La richiesta di esercitare il diritto di accesso, diritto riconosciuto a tutti i soggetti interessati da un trattamento di dati personali dall’articolo in commento, deve essere intesa in termini generali, comprendendo tutti i dati personali riguardanti l’interessato, come specificato anche nelle “Linee guida 01/2022” sui Diritti degli Interessati (EDPB, 28 marzo 2023). Inoltre, ricorda il Garante, qualora i dati non siano raccolti direttamente presso l’interessato, il Titolare del trattamento deve indicare la loro origine.

Nel caso di specie, la Società avrebbe dovuto fornire tutti i dati raccolti con la relazione investigativa, considerato che la stessa conteneva anche informazioni relative al lavoratore ma che non erano state menzionate nella contestazione disciplinare;

  • dell’art. 12 del GDPR, nella parte in cui il Titolare del trattamento, a fronte di una richiesta di esercizio dei diritti da parte di un interessato, deve agevolarne l’esercizio fornendo “le informazioni relative all’azione intrapresa […] senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta” e “se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo […] dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”;
  • dell’art. 5, par. 1, lett. (a) del GDPR, nella parte i cui dati personali devono essere trattati in modo “lecito, corretto e trasparente nei confronti dell’interessato”. La Società, nei riscontri forniti al lavoratore, non aveva infatti specificato l’origine dei dati personali utilizzati per la contestazione disciplinare.

La decisione del Garante

Per tutte le ragioni sopra esposte, il Garante ha rilevato l’illiceità del trattamento effettuato dalla Società in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del GDPR; ha ribadito che “salvo diversa richiesta esplicita dell’interessato, la richiesta di esercitare il diritto di accesso è intesa in termini generali, comprendendo tutti i dati personali che li riguardano”; ha, pertanto, comminato alla Società datrice il pagamento di una sanzione amministrativa pecuniaria di 10mila euro ed ha disposto la pubblicazione del Provvedimento sul proprio sito web.

Altri insights correlati:

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…