L’Autorità Garante per la Protezione dei Dati Personali ha recentemente sanzionato una Banca ribadendo che il principio per cui il lavoratore ha pieno diritto di accedere ai propri dati personali, senza alcuna necessità di motivare la propria richiesta al datore di lavoro.
Una ex dipendente presentava un’istanza al vecchio datore di lavoro per l’esercizio del diritto di accesso a tutte le informazioni che la riguardavano, contenute nel proprio fascicolo personale, con particolare riguardo a tutte le informazioni aventi ad oggetto i fatti e i comportamenti ritenuti irregolari confluiti in una sanzione disciplinare, irrogata anni addietro.
La Banca forniva documentazione relativamente alla vicenda collegata alla sanzione disciplinare. Nel riscontrare l’istanza di accesso, la Banca segnalava alla ex dipendente “il difetto di interesse all’accesso sia perché che il rapporto di lavoro risultava cessato già dal 2014 sia perché la sanzione disciplinare emessa non era stata impugnata nei termini di legge”.
La ex dipendente riteneva la documentazione incompleta trattandosi della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare e presentava quindi reclamo innanzi all’Autorità Garante per la Protezione dei Dati Personali, la quale avviava un’istruttoria.
L’Autorità invitava quindi la Banca a chiarire se fossero in suo possesso ulteriori informazioni relative alla reclamante, riferite al provvedimento disciplinare di cui alla richiesta di accesso.
La Banca trasmetteva quindi alla ex dipendente documenti integrativi, che, nel corso dell’istruttoria, risultavano costituire parte integrante degli atti sottesi al procedimento disciplinare. Esaminata la documentazione, l’Autorità avviava il procedimento sanzionatorio.
Nelle proprie difese, la Banca eccepiva che la documentazione integrativa condivisa nel corso dell’istruttoria, rappresentasse un nucleo di informazioni estranee alla originaria richiesta, ossia corrispondenza intercorsa fra la Banca stessa ed un terzo, “che lamentava l’illecita comunicazione di informazioni riservate di un correntista (fratello della reclamante) e utilizzate dalla reclamante nell’ambito di un procedimento giudiziario”.
Al riguardo, la Banca, precisava all’Autorità Garante che “l’ostensione, inizialmente rifiutata” della corrispondenza in questione “avrebbe potuto ledere non solo la riservatezza” del terzo, ma anche i suoi diritti in sede giudiziaria; invocava inoltre un orientamento della Cassazione civile, avente ad oggetto i limiti del diritto di accesso da parte del dipendente, che tuttavia veniva ritento dall’Autorità non pertinente poiché relativo ad una diversa fattispecie.
Si ricorda che il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui dati personali che lo riguardano. Gli interessati non devono indicare un motivo o un’esigenza per giustificare le proprie richieste di esercizio di diritti, né il titolare del trattamento può chiedere i motivi della richiesta.
Le Linee guida sul diritto di accesso dell’EDBP precisano che i titolari del trattamento non dovrebbero valutare “perché” l’interessato richiede l’accesso, ma solo “cosa” richiede l’interessato, ciò anche ove i dati richiesti possano essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento o anche se sottese alla difesa avverso provvedimenti disciplinari.
E ancora, ove venissero rappresentate dall’interessato delle motivazioni, queste ultime non possono comportare una limitazione o negazione del suo diritto.
Anche la Suprema Corte di Cassazione ha ribadito che nell’ambito del diritto del lavoro, la normativa sul trattamento dei dati personali si affianca alla disciplina giuslavoristica, che impone alle parti di rispettare “i canoni di buona fede e correttezza” ai sensi degli artt. 1175 e 1375 cod.civ. Il dipendente, quindi, ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano (Corte di Cass. 7 aprile 2016, n. 6775).
La condotta della Banca è stata ritenuta non conferme alle disposizioni del GDPR, non avendo dato completo riscontro all’istanza di accesso dell’ex dipendente e per non aver provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo stata oggetto di specifica richiesta (violazione art. 12, par. 4 del GDPR).
Per la quantificazione della sanzione, pari ad euro 20.000,00 il parametro delle condizioni economiche della Banca, determinate in base ai ricavi conseguiti e riferiti al bilancio d’esercizio per l’anno 2022, sono state tenute in considerazione anche altre circostanze; la natura della violazione, è che stata ritenuta rilevante, ma anche l’assenza di precedenti e il riscontro all’istanza della reclamante, nel corso del giudizio.