Datore di lavoro non può negare l’accesso ai dati da parte del dipendente

Il datore di lavoro non può negare l’accesso ai dati da parte del dipendente perché quest’ultimo li potrebbe usare per difendersi in giudizio contro il datore o terzi.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

Indice

1. I fatti

Una signora, ex dipendente di una banca di credito cooperativo, inviava un reclamo al garante per la protezione dei dati personali sostenendo di aver formulato un’istanza di esercizio dei propri diritti ai sensi della normativa privacy e di non aver ricevuto un idoneo riscontro da parte della banca.
In particolare, la reclamante aveva chiesto l’accesso ai dati personali contenuti nel suo fascicolo personale e di ricevere una copia degli stessi, soprattutto quelli relativi al fascicolo di un procedimento disciplinare che l’aveva portata al licenziamento, per conoscere tutte le informazioni che la riguardavano e che avevano portato alla irrogazione della sanzione disciplinare.
La reclamante sosteneva che, a fronte della predetta richiesta, la banca avesse inviato soltanto un elenco della corrispondenza intercorsa tra le parti e relativa l predetto procedimento disciplinare, mentre non erano state inviate numerosi informazioni in base alle quali era stata irrogata la sanzione.
Il Garante invitava quindi la banca a fornire informazioni in merito e a chiarire se tutti i dati contenuti nel fascicolo personale della reclamante erano stati già comunicati a quest’ultima (e in caso negativo a fornire copia).
La banca, quindi, provvedeva ad inviare al Garante l’ulteriore documentazione contenuta nel fascicolo personale della reclamante e si difendeva affermando che la documentazione che era stata fornita alla reclamante a seguito dell’istanza di accesso era idonea a farle conoscere tutti i fatti e i comportamenti valutati dalla banca per adottare la sanzione disciplinare, nonché le valutazioni effettuate dalla banca e le motivazioni sottese alla sanzione medesima. Invece, la reclamante si lamentava di non aver ricevuto l’ulteriore documentazione che però riguardava un oggetto diverso da quello di cui alla originaria richiesta ed in particolare la corrispondenza intervenuta tra la Banca e un soggetto terzo.
A tale ultimo proposito, la banca sosteneva di non aver consegnato inizialmente detta documentazione ulteriore in quanto avrebbe potuto ledere la riservatezza di detto soggetto terzo e anche i suoi diritti in sede giudiziaria. In secondo luogo, la banca evidenziava che anche l’acquisizione delle informazioni contenute in detta ulteriore documentazione non poteva essere ottenuta neanche in virtù del diritto di difesa della reclamante nel procedimento disciplinare, in quanto ormai il relativo provvedimento non poteva più essere impugnato.
Infine, la banca evidenziava che il diritto di accesso previsto dalla normativa privacy riguarda soltanto i dati personali dell’interessato e non impone al titolare del trattamento di consegnare al primo anche i documenti che contengono detti dati, né tantomeno i documenti contenenti informazioni riferite a vicende e soggetti terzi nonché le libertà altrui (come il diritto di difesa della banca titolare del trattamento).
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Datore di lavoro nega l’accesso ai dati da parte del dipendente: la valutazione del Garante

Il Garante per la protezione dei dati personali ha ritenuto che la banca abbia fornito un riscontro parziale alla richiesta di accesso ai dati esercitata dall’interessato nel caso di specie, in quanto la banca – a fronte della richiesta del Garante di chiarire se vi fossero altri dati e informazioni relative alla reclamante in possesso della banca e che non fossero già state consegnate – aveva in effetti inviato ulteriore documentazione integrativa, consistente nella corrispondenza intercorsa tra la banca e un soggetto terzo che costituiva parte integrante degli atti sottesi al procedimento disciplinare nei confronti della reclamante medesima.
Dalle difese della banca è emerso che la motivazione della mancata iniziale ostensione della predetta ulteriore documentazione era relativa alle implicazioni che sarebbero derivate al diritto di difesa e alla tutela della riservatezza del predetto soggetto terzo.
Tuttavia, secondo il Garante, dall’istruttoria non è emerso che la banca abbia comunicato alla reclamante i predetti motivi per cui aveva rifiutato l’ostensione dell’ulteriore documentazione, in quanto la banca aveva soltanto fatto riferimento alla mancanza di interesse all’accesso e alla conclusione del rapporto di lavoro molti anni prima senza che la reclamante avesse impugnato il provvedimento di licenziamento.
In considerazione di ciò, il Garante ha ritenuto che la banca ha violato la normativa privacy in tema di esercizio dei diritti dell’interessato, non avendo motivato la mancata consegna della documentazione contenente i dati personali.
In generale, poi, il Garante ha ritenuto che il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di essere consapevole del trattamento e verificarne la liceità. Tale scopo, però, non comporta che il diritto di accesso debba essere negato o limitato quando alla base della richiesta vi sia il perseguimento di un obiettivo diverso. Infatti, gli interessati non devono indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può chiedere i motivi della richiesta di accesso.
A tal proposito, le linee guida sul diritto di accesso stabiliscono che i titolari del trattamento non dovrebbero valutare “perché” l’interessato richiede l’accesso, ma solo “cosa” richiede l’interessato e se detengono dati personali relativi a tale persona. Pertanto, ad esempio, il titolare del trattamento non dovrebbe negare l’accesso per motivi o il sospetto che i dati richiesti possano essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento o di controversia commerciale con il responsabile del trattamento.

3. La decisione del Garante

In considerazione di tutto quanto sopra, il Garante ha ritenuto che, posto che la richiesta della reclamante di accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare che la riguardava è lecita, la sua evasione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi da parte della reclamante medesima.
Conseguentemente, il Garante ha ritenuto illecito il rifiuto da parte della banca di fornire subito tutte le informazioni facenti parte del fascicolo personale della reclamante e pertanto ha ritenuto di dover comminare una sanzione pecuniaria al titolare del trattamento.
Per quanto concerne la quantificazione della predetta sanzione, da un lato, il garante ha valutato come rilevante la natura della violazione posta in essere (in quanto ha riguardato l’esercizio dei diritti dell’interessato); dall’altro lato, il garante ha valutato l’assenza di precedenti violazioni pertinenti commesse dal titolare e il fatto che quest’ultimo ha fornito all’interessato durante il procedimento le informazioni oggetto dell’istanza di cui è causa. In ragione di ciò e delle condizioni economiche del contravventore (tenuto conto del bilancio d’esercizio per l’anno 2022), il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 20.000 (ventimila).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento