Con provvedimento n. 137 del 7 marzo 2024, pubblicato nella odierna newsletter, il Garante per la protezione dei dati personali ha irrogato una sanzione a un istituto bancario per la mancata concessione di accesso completo ai dati contenuti nel fascicolo personale di un dipendente.
Nella fattispecie, una dipendente aveva richiesto di accedere al proprio fascicolo personale per verificare le informazioni che avevano determinato una sanzione disciplinare a suo carico. La banca, tuttavia, non ha fornito un riscontro esaustivo, limitandosi a presentare un elenco parziale della documentazione raccolta e omettendo alcune informazioni rilevanti per la sanzione disciplinare. Solo a seguito dell’intervento istruttorio dell’Autorità, l’istituto ha consegnato all’ex dipendente l’ulteriore documentazione presente nel fascicolo.
In particolare, si trattava della corrispondenza tra la banca e una terza persona, la quale lamentava la divulgazione non autorizzata di informazioni riservate del marito correntista alla reclamante, che le aveva utilizzate in un procedimento giudiziario. La banca ha giustificato la mancata consegna di tale documentazione all’ex dipendente adducendo la necessità di tutelare il diritto di difesa e la riservatezza dei terzi coinvolti, nonché la mancanza di un interesse legittimo della reclamante.
Il Garante ha evidenziato che il diritto di accesso ai dati personali è finalizzato a permettere all’interessato di controllare i propri dati e verificarne l’accuratezza. Tale diritto non può essere negato o limitato in base alla finalità della richiesta. Ai sensi degli articoli 12, paragrafo 4, e 15 del GDPR, gli interessati non sono tenuti a motivare le loro richieste di esercizio dei diritti, né il titolare del trattamento può richiedere la motivazione delle stesse.
Questa interpretazione è stata ulteriormente chiarita dal Comitato europeo per la protezione dei dati (EDPB) nelle Linee guida sul diritto di accesso, che specificano come i titolari del trattamento non debbano valutare il “perché” della richiesta, ma solo il “cosa” viene richiesto e se detengono dati personali relativi all’interessato. Pertanto, il titolare non può negare l’accesso per timori o sospetti che i dati richiesti possano essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento o controversia commerciale.
Il Garante ha inoltre ricordato che la giurisprudenza di legittimità e di merito, come ribadito dalla sentenza della Cassazione del 7 aprile 2016, n. 6775, ha più volte affermato che il diritto di accesso del lavoratore trova fondamento non solo nella normativa sulla protezione dei dati personali, ma anche nei principi di buona fede e correttezza che regolano il rapporto di lavoro ai sensi degli articoli 1175 e 1375 del codice civile. La contrattazione collettiva del settore prevede che il datore di lavoro debba conservare in un apposito fascicolo personale tutti gli atti e i documenti relativi al percorso professionale, all’attività svolta e ai fatti più significativi riguardanti il dipendente, il quale ha diritto di accesso e visione di tali atti e documenti.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024