L’autorità Garante della privacy con due provvedimenti di settembre 2023 ha sanzionato una società (titolare del trattamento) con una multa di euro 10.000,00 per la violazione delle norme sui dati personali. L’Autorità ha riscontrato che la società ha violato le norme sulla protezione dei dati personali in relazione al dipendente, non avendogli fornito in maniera adeguata i dati richiesti, con conseguente violazione del principio di correttezza nel trattamento dei dati. In particolare, la società non ha indicato con chiarezza, all’inizio dello scambio di comunicazioni, l’origine dei dati utilizzati per la contestazione disciplinare e non ha sufficientemente dimostrato la presenza di un effettivo ostacolo all’esercizio del diritto del dipendente.
Cosa prevede il GDPR in materia di protezione dei dati personali del lavoratore
Qualora il lavoratore ne faccia richiesta il datore di lavoro deve consegnare una copia dei dati personali trattati ai sensi della normativa sul trattamento dei dati personali regolamentata dal GDPR Reg. Ue 2016/679 e dal codice della privacy (d.lgs. 196/2003).
Soltanto nei casi previsti dalla legge, infatti, l’accesso ai dati può essere impedito, qualora determini un pregiudizio effettivo e concreto all’interesse tutelato o crei un pregiudizio di interesse collettivo o nazionale (articolo 2-undecies del Dlgs 196/2003, come modificato dal Dlgs 101/2018).
- Il diritto di accesso regolato dall’art. 15 GDPR deve essere consentito senza giustificato ritardo, entro un mese dalla richiesta; tale termine può essere prorogato fino a due mesi solo in particolari casi, previa informativa della proroga all’interessato, sempre entro un mese dalla richiesta.
- Il titolare del trattamento dovrà informare l’interessato dei motivi dell’inottemperanza e della possibilità di proporre reclamo all’autorità di controllo o di proporre ricorso giurisdizionale (articolo 12 del GDPR).
- In tema di accesso, particolare rilevanza assumono, altresì, le Guidelines 1/2022 – “Right of access, dello European data protection board” (EDPB, il comitato europeo per la protezione dei dati personali) del 28 marzo 2023.
- Il consenso all’accesso deve essere, infine, semplice ed effettivo, senza ulteriori adempimenti che ostacolino il diritto ad acquisire i dati dal lavoratore.
L’importanza della tutela diritto di accesso dei lavoratori
Attraverso questi provvedimenti, il Garante intende tutelare il diritto di accesso dei lavoratori, soprattutto quando quest’ultimi debbano difendersi da provvedimenti disciplinari e/o in ipotesi di licenziamento.
Il provvedimento sottolinea come le aziende, in conformità con quanto definito dal GDPR, debbano essere trasparenti riguardo alle informazioni raccolte su ciascun dipendente e devono fornire accesso completo a tale tipo di informazioni quando richiesto.