Il lavoratore ha il diritto di accedere ai suoi dati personali contenuti nel dossier dell’agenzia investigativa incaricata di raccogliere informazioni sul suo conto. Lo ha stabilito il Garante privacy, accertando l’illiceità del trattamento dati effettuato da un’azienda che è stata sanzionata con una multa di 10mila euro.
Il Garante per la protezione dei dati personali ha sottolineato, mediante un provvedimento (in allegato) l’importanza di garantire il diritto dei dipendenti di accedere ai propri dati personali, anche nel caso in cui tali dati siano stati raccolti da un’agenzia investigativa incaricata dall’azienda.
La protezione dei dati personali e la privacy dei cittadini sono principi sanciti dal GDPR che, come disposto in modo chiaro, si applicano anche al contesto lavorativo, regolando il rapporto datore di lavoro – dipendente.
In questo senso, il Garante ha definito illecito il trattamento dei dati effettuato da parte di un’azienda di servizi di pubblica utilità, nei confronti di un proprio dipendente che, avendo ricevuto una contestazione disciplinare, aveva chiesto di accedere alle informazioni che lo riguardavano per difendersi nel procedimento legale allora in corso.
L’azienda si era inizialmente rifiutata di fornire tale possibilità, sostenendo che la richiesta del dipendente non forniva dettagli sufficienti a individuare i dati che lo stesso aveva necessità di consultare. A seguito di una nuova richiesta, la società avrebbe quindi fornito tali informazioni.
Il mancato riscontro iniziale da parte dell’azienda avrebbe comportato l’impossibilità per l’interessato di esercitare i propri diritti in materia di protezione dei dati personali e, di conseguenza, questi non avrebbe potuto esercitare il proprio diritto alla difesa. Tale procedimento, infatti si è concluso con il licenziamento del dipendente.
Il 15 novembre 2021, egli ha quindi presentato un reclamo al Garante, che ha inoltrato alla società una richiesta di informazioni in merito alla vicenda.
A tale richiesta, l’azienda aveva risposto dicendo di avere incaricato, in modo legale, un’agenzia investigativa di condurre un’indagine su presunti comportamenti irregolari del reclamante. Ha sostenuto, inoltre, che nel contesto della richiesta presentata dal dipendente, sarebbe stato nelle sue possibilità limitare l’accesso del reclamante a tali dati se ciò avesse compromesso la difesa dell’azienda in sede giudiziaria.
Solo a seguito di questo evento, il dipendente avrebbe scoperto che la contestazione disciplinare di cui era oggetto era basata su informazioni provenienti da un’indagine condotta per mezzo di un’agenzia investigativa autorizzata.
Ultimate le indagini sulla vicenda, il 13 aprile 2023, il Garante ha notificato alla Società che il trattamento dei dati da essa effettuato è risultato illecito in relazione al GDPR, facendo in particolare riferimento all’articolo 5, paragrafo 1, lettera a), che definisce che i dati personali debbano essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, e gli articoli 12 e 15 che dispongono, rispettivamente, che il titolare del trattamento fornisca all’interessato informazioni chiare, concise e facilmente accessibili riguardo al trattamento dei propri dati personali, e il diritto di accesso dell’interessato a tali dati.
Da parte sua, la Società ha risposto, l’11 maggio 2023, dichiarando di avere acquisito consapevolezza della natura della richiesta del reclamante e di riconoscere un errore nell’interpretazione iniziale. Sottolineando, però, che la violazione avrebbe coinvolto solo la richiesta di un singolo individuo e non avrebbe compromesso il suo diritto di difesa.
L’azienda ha definito la violazione come colposa e ha intrapreso una serie di misure correttive, comprese sessioni di formazione per il personale.
Il Garante, con tale provvedimento, ha ribadito che l’azienda aveva l’obbligo di fornire al lavoratore tutti i dati raccolti durante l’indagine, anche quelli non inclusi nella contestazione disciplinare, e ha imposto alla società una multa di 10.000 euro.
L’Autorità ha riscontrato, di fatto, che la società ha violato le norme sulla protezione dei dati personali in relazione al dipendente, non gli ha fornito in maniera adeguata i dati richiesti e ha violato il principio di correttezza nel trattamento dei dati personali, non avendo indicato con chiarezza l’origine dei dati utilizzati per la contestazione disciplinare e senza aver sufficientemente dimostrato la presenza di un effettivo ostacolo all’esercizio di un proprio diritto.
Con questa disposizione, il Garante intende tutelare il diritto di accesso dei dipendenti ai propri dati personali, con particolare riferimento alle situazioni in cui tali dati sono utilizzati per prendere decisioni disciplinari o di licenziamento.
Il provvedimento sottolinea come le aziende, in conformità con quanto definito dal GDPR, debbano essere trasparenti riguardo alle informazioni raccolte su ogni dipendente e devono fornire accesso completo a tali informazioni quando richiesto.
Inoltre, questa decisione del Garante pone l’accento sulla necessità per le aziende di rispettare i principi fondamentali del GDPR in tutte le fasi del trattamento dei dati personali dei dipendenti.
Il caso in esame evidenzia il delicato equilibrio tra la protezione dei dati personali dei dipendenti e la necessità di un’azienda di condurre indagini quando sussiste un sospetto comportamento illecito.
