Garante Privacy: deve essere garantito l’accesso del lavoratore ai dati personali contenuti nella relazione investigativa che lo riguarda

Garante Privacy: deve essere garantito l’accesso del lavoratore ai dati personali contenuti nella relazione investigativa che lo riguarda

A cura di Ilaria Pitingolo

Lo scorso 11 settembre nella Newsletter del Garante per la Protezione dei Dati Personali è stato pubblicato il provvedimento n. 290 del 6 luglio 2023 con cui l’Autorità si è pronunciata sulla possibilità per un dipendente di avere accesso ai propri dati personali contenuti nella relazione di un’agenzia investigativa incaricata dalla datrice di lavoro di reperire informazioni sul suo conto.
La vicenda trae origine da un reclamo mosso da un lavoratore che lamentava il mancato riscontro della Società alla sua richiesta di accedere ai dati utilizzati dall’azienda per elevargli una contestazione disciplinare. Egli, a seguito della contestazione, con plurime comunicazioni email aveva chiesto “al fine di esercitare il proprio diritto di difesa l’accesso ai propri dati aventi ad oggetto i fatti ed i comportamenti indicati nella lettera di contestazione di addebito” senza mai ricevere dalla Società fattivo riscontro. Ciò, da un lato gli avrebbe impedito di esercitare i propri diritti in materia di protezione dei dati e, dall’altro il diritto di difesa nell’ambito del procedimento disciplinare e poi di quello giudiziale di impugnazione del licenziamento.
Il lavoratore precisava altresì di aver appreso solo durante il giudizio che la Società si era rivolta ad un’agenzia investigativa per reperire le informazioni utilizzate nella contestazione. Nella prospettazione del reclamante si trattava di controlli inutilizzabili perché contrari alla normativa vigente.
A seguito di istruttoria emergeva che a fronte della richiesta del lavoratore di avere accesso ai dati riferiti alle contestazioni disciplinari la Società in un primo momento aveva qualificato la richiesta come “accesso al personal computer Aziendale” e poi invitato lo stesso a specificare nel dettaglio i documenti richiesti. Nonostante i chiarimenti, anche successivamente, la Società non aveva dato seguito alle richieste del reclamante continuando a ritenerle generiche ed inaccoglibili. Sotto altro profilo, risultava confermato come il lavoratore fosse venuto a conoscenza dell’esistenza e del contenuto di una relazione investigativa sul suo conto solo nel momento in cui la Società si era costituita in giudizio nella causa di impugnazione del licenziamento. In tale contesto, il Garante ha ritenuto che il trattamento dei dati personali effettuato dalla Società – e, in particolare, il mancato riscontro alle istanze di accesso agli atti del lavoratore – fosse avvenuto in violazione degli artt. 15, 12 e 5 del GDPR.
L’autorità ha dapprima ricordato come quella del lavoratore fosse qualificabile, a tutti gli effetti, come una richiesta di accesso agli atti conforme a quanto previsto dall’art. 15 del GDPR.
La norma per quanto concerne l’oggetto del diritto di accesso, specifica che questo ricomprende anche le “categorie di dati personali” oltre che “qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine”. L’azienda avrebbe dunque dovuto permettere al lavoratore l’accesso a tutti i dati personali (fotografie, rilevazione GPS, descrizioni di luoghi, persone e situazioni) raccolti attraverso le indagini dell’agenzia investigativa e contenuti nella relazione con la sola eccezione di quelli già trasfusi nella contestazione di addebito. Del tutto illegittima, invece, la scelta della Società di subordinare il riscontro alla descrizione dettagliata da parte dell’interessato dei dati cui voleva accedere in un contesto in cui, peraltro, era emerso come la richiesta del lavoratore fosse stata, fin dall’origine, sufficientemente chiara e specifica.
Altrettanto illegittima l’omessa comunicazione circa la raccolta dei dati a mezzo di agenzia investigativa. Infatti, sempre l’art. 15 prevede che nel caso in cui i dati non siano raccolti direttamente presso l’interessato, ma, come nel caso di specie, avvalendosi di terzi (i.e. l’agenzia investigativa) il titolare del trattamento (i.e. la Società) deve indicare la loro origine.
L’art. 12 del GDPR stabilisce poi che, una volta pervenuta la richiesta di accesso, il titolare del trattamento deve comportarsi in modo da agevolare l’esercizio del diritto, fornire le informazioni senza ritardi e, comunque, entro un mese dal ricevimento della richiesta. In caso di inottemperanza informare l’interessato circa i motivi del rifiuto e della possibilità di proporre reclamo a un’autorità di controllo e ricorso giurisdizionale. Tutte informazioni che la Società aveva invece omesso di indicare nel dare riscontro al lavoratore. Peraltro, prosegue l’Autorità, la condotta della Società non sarebbe stata neppure conforme al principio generale di correttezza del trattamento (art. 5, par. 1 lett. a) del GDPR) che assume invece, avuto particolare riguardo all’ambito del rapporto di lavoro, un importante rilievo.
Tenuto conto di quanto emerso e della vicenda nel suo complesso il Garante ha comminato all’Azienda una sanzione amministrativa del valore di 10.000 (diecimila) euro.

Come possiamo aiutarti?

Consultaci per qualsiasi informazione