Di fronte alla richiesta da parte di un lavoratore di accedere a documenti che lo riguardano, il datore di lavoro deve garantirgli accesso in modo semplice e tempestivo. Nel caso di un’ex dipendente di un’azienda nel settore della ristorazione, però, tale richiesta non è stata assolta. Il rifiuto l’ha spinta a presentare un reclamo al Garante, che è intervenuto riaffermando l’importanza del diritto di accesso ai dati personali nel rapporto di lavoro.
Il caso: la richiesta dell’ex dipendente e il rifiuto dell’azienda
L’ex dipendente chiede i propri attestati di formazione e il certificato medico, ma l’azienda nega la consegna.
La vicenda nasce da due e-mail inviate dall’ex dipendente nel giugno 2024, con cui la lavoratrice chiedeva gli attestati di formazione svolti e il certificato dell’ultima visita medica. La società risponde solo sulla restituzione dei beni aziendali e nega di dover consegnare gli attestati, sostenendo che fossero “a cura e spese dell’azienda” e quindi non dovuti.
La dipendente ribadisce la richiesta, ma il rifiuto resta invariato. È solo dopo il reclamo al Garante che la società chiarisce la propria posizione: gli attestati appartenevano al precedente datore di lavoro e, all’epoca della richiesta, non erano ancora stati ricevuti; inoltre, il certificato medico avrebbe dovuto essere già in possesso della lavoratrice, in quanto rilasciato dal medico competente.
Tuttavia, come rilevato dal provvedimento, nessuna di queste motivazioni ha giustificato la mancata risposta a una legittima richiesta di accesso ai dati personali.
Cosa stabilisce il Garante sul diritto di accesso ai dati personali
Una richiesta di accesso non deve rispettare particolari formalità e deve sempre ricevere risposta entro un mese.
Il Garante ricorda che l’art. 15 del GDPR garantisce all’interessato il diritto di ottenere copia dei propri dati personali, e che, senza eccezioni, il titolare deve rispondere entro un mese (art. 12).
Nel caso specifico, il Garante sottolinea alcuni punti chiave:
- Anche le richieste informali, prive di riferimenti al GDPR, costituiscono esercizio del diritto di accesso. L’azienda non può pretendere una formulazione particolare o modalità specifiche di richiesta.
- Gli attestati di formazione contengono dati personali, quindi sono sempre accessibili dal dipendente.
- In caso di trasferimento di ramo d’azienda (art. 2112 c.c.), il nuovo datore subentra nei diritti e negli obblighi del precedente. Non può quindi rinviare il dipendente al datore cedente.
- Un eventuale diniego deve essere accompagnato dall’indicazione della possibilità di reclamo o ricorso, cosa che la società ha mancato di fare.
Le motivazione offerte dall’azienda non sono risultate, dunque, idonee a giustificare l’omessa risposta: la difficoltà di reperire i documenti o la loro origine presso un altro lavoratore e la richiesta “informale” non esonerano dall’obbligo di dare riscontro all’interessato in modo corretto e tempestivo.
La violazione dei principi del GDPR
Gli attestati vengono consegnati con un ritardo di sette mesi: una violazione dei tempi previsti dal GDPR, mitigata però dalla collaborazione dell’azienda.
A seguito dell’invito formale dell’Autorità, il datore di lavoro ha finalmente trasmesso all’ex dipendente gli attestati di formazione e la copia del certificato medico. Tuttavia, questa consegna è avvenuta il 17 gennaio 2025, cioè sette mesi dopo le prime richieste dell’interessata e non per iniziativa spontanea dell’azienda, ma solo in esecuzione dell’indicazione ricevuta dal Garante.
Questa condotta ha determinato una violazione di diversi principi fondamentali del GDPR:
- Art. 5, par. 1, lett. a) – Principio di correttezza: il titolare deve trattare i dati e rispondere agli interessati in modo leale e rispettoso dei loro diritti.
- Art. 12 GDPR – Trasparenza e tempestività: la risposta va data senza ritardo ed entro un mese.
- Art. 15 GDPR – Diritto di accesso ai dati personali: l’interessato ha diritto a ottenere copia dei dati senza ostacoli.
Il fatto che l’azienda alla fine abbia adempiuto, pur non eliminando la violazione, rappresenta per il Garante un elemento attenuante, tenuto conto che la consegna è comunque avvenuta nel corso del procedimento.
La sanzione e le misure accessorie
La violazione è valutata di gravità media a causa della durata e della natura del trattamento.
Il Garante ha applicato una sanzione amministrativa pecuniaria di 1.000 euro, considerando:
- la gravità media della violazione,
- la durata del comportamento illecito (circa sette mesi),
- lo squilibrio nel rapporto di lavoro,
- la collaborazione successiva da parte dell’azienda.
Oltre alla sanzione, sono state disposte anche:
- la pubblicazione del provvedimento sul sito del Garante,
- l’annotazione della violazione nel registro interno dell’Autorità.
Misure che sottolineano la portata sistemica delle regole violate.
L’importanza del diritto di accesso nel rapporto di lavoro
Il Garante ribadisce che il diritto di accesso è uno strumento centrale per la trasparenza nei rapporti di lavoro.
Questo provvedimento evidenzia l’importanza per i datori di lavoro di trattare le richieste dei dipendenti con la massima attenzione. Anche una semplice e-mail può rappresentare un’istanza valida e non può essere ignorata o rinviata ad altri soggetti.
Per evitare comportamenti illeciti, le aziende devono:
- garantire risposte tempestive e complete entro i termini stabiliti dal GDPR;
- agevolare l’esercizio dei diritti, anche in caso di successioni o cessioni aziendali;
- considerare sempre gli attestati di formazione come dati personali accessibili al lavoratore;
- adottare procedure chiare e interne che assicurino correttezza e trasparenza.
Il messaggio del Garante è inequivocabile: il diritto di accesso è essenziale per garantire trasparenza nei rapporti di lavoro e il titolare deve assicurarne l’esercizio senza indugi.
Non aspettare un reclamo: adotta procedure chiare e conformi al GDPR. Contattaci per una valutazione completa della tua compliance.
