Rapporto di lavoro: sì all’accesso del dipendente alla relazione investigativa

Lo scorso 11 settembre 2023, l’Autorità garante per la protezione dei dati (il “Garante Privacy” o l’”Autorità”) ha pubblicato il provvedimento del 6 luglio 2023 (“Provvedimento”), con cui è stata inflitta una sanzione a una società di servizi di distribuzione gas ed energia elettrica (la “Società”) per violazione del diritto di accesso garantito dall’art. 15 del Regolamento UE 2016/679 (“GDPR”), nonché per violazione del principio di correttezza di cui all’art. 5(1)(a) del GDPR.

L’Autorità è intervenuta a seguito di un reclamo presentato da un dipendente della Società che non era riuscito a ottenere un completo ed esaustivo riscontro alle richieste di accesso ai propri dati personali, avanzate dopo il ricevimento di una contestazione disciplinare nella quale erano contenuti puntuali riferimenti ad attività extra lavorative, cui era seguito il licenziamento.

Alle diverse istanze dell'interessato, la Società aveva infine risposto che le richieste erano “troppo generiche” ed era necessario segnalare in modo dettagliato le informazioni personali alle quali si richiedeva l’accesso.

In aggiunta, solo a distanza di quasi un anno dalla prima richiesta di accesso ai propri dati personali e in occasione della costituzione della Società nel giudizio di impugnazione del licenziamento, il reclamante era venuto a conoscenza dell’esistenza e del contenuto di una relazione investigativa dalla quale erano stati tratti riferimenti specifici inseriti nella contestazione disciplinare.

Con il Provvedimento, il Garante Privacy ha chiarito che, conformemente agli artt. 12 e 15 del GDPR, la Società aveva l’obbligo di fornire al lavoratore dipendente tutti i dati raccolti con la relazione investigativa, anche quelli che non erano stati utilizzati nella contestazione disciplinare quali, ad esempio, fotografie, una rilevazione Gps, descrizioni di luoghi, persone e situazioni. Informazioni che, peraltro, avrebbero anche potuto essere utili per l’esercizio del diritto di difesa.

In particolare, l’Autorità ha dichiarato la non conformità al citato art. 15 del GDPR della condotta posta in essere dalla Società, essendosi quest’ultima rifiutata di (anche solo) riscontrare la richiesta di accesso ai dati inoltrata dal reclamante, subordinandone la propria risposta a una istanza più precisa e puntuale con riferimento alla natura della documentazione richiesta.

Pur non segnalando un obbligo per il datore di allegare già alla contestazione disciplinare la documentazione che ne abbia giustificato il ricorso, l’Autorità ha precisato che la successiva richiesta di accesso a tali dati deve, in ogni caso, essere riscontrata.

In altre parole, il Garante Privacy ha specificato che il datore di lavoro non possa esimersi dal fornire un tempestivo riscontro alla richiesta di accesso alla documentazione sulla quale si sia fondato l’inizio di un procedimento disciplinare a carico del dipendente quando essa afferisca a categorie di dati relative al soggetto interessato.

Inoltre, anche laddove la richiesta di accesso non possa essere accolta, resta comunque fermo il dovere del datore di lavoro di darne informazione all’interessato “senza ritardo” (art. 12 del GDPR), rappresentando altresì la possibilità per quest’ultimo di proporre relativo reclamo a un’autorità di controllo (o, in alternativa, di perseguire la strada del ricorso giurisdizionale).

Inoltre, il Garante Privacy ha ritenuto che la Società, astenendosi dal divulgare l’esistenza del rapporto di indagine e le ragioni del rifiuto di accesso ai dati contenuti al suo interno, abbia violato anche il principio di correttezza di cui all’art. 5(1)(a) del GDPR. A parere del Garante Privacy, infatti, il titolare del trattamento è tenuto a indicare la specifica origine dei dati utilizzati per la contestazione disciplinare, e ciò a prescindere da una valutazione in merito alla eventuale violazione dell’art. 7, della legge 20/5/1970, n. 300 con riguardo alla “genericità della contestazione” e “omessa consegna” delle informazioni su cui è stata fondata la stessa, con conseguente violazione del diritto di difesa del lavoratore. Il Provvedimento in esame è stata quindi un’occasione molto utile per l’Autorità per chiarire che il titolare del trattamento è tenuto a fornire l’accesso ai dati personali dell'interessato in forma completa e aggiornata, indicando anche l’origine dei dati qualora non siano raccolti direttamente dal titolare del trattamento presso l'interessato (come nel caso di specie).

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, la stessa ha riscontrato che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite al reclamante, non conformi alla disciplina in materia di protezione dei dati personali, ritenendo, pertanto, opportuno infliggere una sanzione di euro 10.000.

Ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, l’Autorità ha riferito di aver considerato le seguenti circostanze:

• in relazione alla natura, gravità e durata della violazione, è stata considerata rilevante la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, nonché la durata della violazione stessa che si è protratta per circa un anno;
• con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare,è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;
• a favore della Società si è tenuto conto della cooperazione con l’Autorità, della circostanza che la violazione accertata ha riguardato il solo reclamante e della adozione di misure volte ad agevolare l’attività di riscontro alle istanze di esercizio dei diritti degli interessati.