Il diritto di accesso previsto dall’articolo 15 del GDPR può essere esercitato sempre e comunque a prescindere dalla sua finalità: questo è quanto ha affermato l’Autorità Garante per il trattamento dei dati personali nel provvedimento del 7 marzo 2024, numero 137, che riguarda nello specifico il diritto del lavoratore ad accedere al proprio fascicolo.
Indice degli argomenti
Diritto di accesso al proprio fascicolo: il provvedimento del garante privacy
Una ex dipendente di un istituto bancario aveva richiesto di ottenere copia del proprio fascicolo, poiché era stata attinta da una sanzione disciplinare.
Più nello specifico, l’ex dipendente aveva chiesto “l’accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca” (istanza del 07/10/2020)”.
L’istituto bancario forniva un riscontro parziale, ossia la “comunicazione ed elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare” mancando delle ulteriori informazioni in base alle quali le era stata irrogata la sanzione disciplinare”.
Da qui il reclamo al Garante, che ha determinato la consegna della restante documentazione, “nella quale sono stati resi opportunamente illeggibili quei dati personali non riferiti alla sua persona, ai sensi dell’art. 15, comma 4, del GDPR”.
La sanzione e la sua motivazione
L’istituto di credito aveva le proprie – anche valide – ragioni per non aver fornito immediatamente la documentazione richiesta, in diritto ed in fatto.
In diritto, aveva opposto due argomenti anche seri, ma sempre rigettati dalla giurisprudenza, ossia, nello specifico:
– “il diritto di accesso dovrebbe riguardare i dati personali nonché le informazioni previste dal par. 1 dell’art. 15 e, almeno di regola, non i documenti che li contengono, né tantomeno i documenti contenenti le informazioni riferite a vicende e soggetti terzi e può (rectius deve)
essere limitato per tutelare i diritti e le libertà altrui, come il diritto di difesa della banca
titolare del trattamento”;
– “nell’occasione, pare potersi rilevare che il generale diritto di accesso ex art. 15 del GDPR
non possa essere utilizzato dal lavoratore per ottenere un’utilità che il medesimo non può
richiedere in base alle normative settoriali di riferimento, come quella giuslavoristica (…)”.
La tematica è stata ampiamente superata, in particolare dopo la sentenza resa dalla Corte di Giustizia europea nella causa C-487/21 – Crif (si veda, sul punto l’articolo qui e di seguito).
Diritto di accesso e richiesta di “copia” dei dati personali: l’importante sentenza della Corte Ue
L’interessato – qualunque interessato, anche lavoratore – ha diritto di ricevere copia dei propri dati, nel senso – indicato dalla Corte – di copia di tutti i documenti che lo riguardano.
In fatto, invece, il discorso era meno lineare.
“La Banca, nelle note di riscontro a questa Autorità, ha motivato la mancata iniziale ostensione di tale documentazione per le implicazioni che ne sarebbero derivate al diritto di difesa e alla tutela della riservatezza del terzo.
Tuttavia, non risulta che tali motivi siano stati resi noti alla reclamante, a cui è stata solo omessa la documentazione integrativa e segnalato “il difetto di interesse all’accesso sia perché il rapporto di lavoro è cessato nel lontano 2014 sia perché la sanzione disciplinare emessa (…) non è stata impugnata nei termini” (v. nota del 03/11/2020 in riscontro all’istanza di accesso)”.
Per il Garante, l’omissione della motivazione del diniego all’ostensione di tutta la documentazione costituisce una violazione dell’articolo 12, paragrafo 4, del GDPR.
Nello specifico: “In ultimo, con riferimento al formato con cui i dati devono essere resi disponibili all’istante e, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, deve osservarsi che, ai sensi dell’art. 12, del Regolamento “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Tale norma, correttamente interpretata, attribuisce al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso, nel rispetto di quanto previsto dall’art. 12 sopra richiamato.
Anche in tal caso, giova ricordare i chiarimenti resi dall’EBDP nelle Linee Guida sul diritto di accesso laddove, rispetto a tale particolare questione, si precisa che “L’obbligo di fornire una
copia non va inteso come un diritto supplementare dell’interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida)”.
Il Garante, in definitiva, ha emesso una sanzione molto elevata in relazione al fatto – date anche le circostanze – ossia 20.000 euro.
L’impressione è che sia stata erogata una sanzione “esemplare”, dato che ormai l’orientamento è consolidato.
Conclusioni
Il provvedimento è lineare e si capisce perfettamente quale orientamento l’Autorità voglia tenere in tema di diritto di accesso.
Volendo sintetizzare, il diritto di accesso determina che l’interessato ha diritto di ottenere tutta la documentazione relativa alla propria posizione, salvo che non vi siano ragioni, chiaramente esposte, per cui il titolare non può o non vuole consegnare copia del “fascicolo” o di parte di esso.
Un’interpretazione estremamente favorevole all’interessato, forse anche per bilanciare lo squilibrio che ordinariamente si osserva tra titolare ed interessato stesso, ma che favorisce, in casi estremi, i soggetti che vogliano “trollare” il titolare.
Dall’altra parte, l’articolo 15 del GDPR contiene un problema testuale, ossia il diritto di ottenere “copia” dei dati: è dovuta intervenire la Corte di Giustizia per chiarire che si tratta dei documenti su cui sono contenuti i dati.