Diritto di accesso ai dati personali: il Garante sanziona un’azienda per aver negato la consegna degli attestati a un dipendente

Al momento stai visualizzando Diritto di accesso ai dati personali: il Garante sanziona un’azienda per aver negato la consegna degli attestati a un dipendente

Garantire il diritto di accesso ai dati personali è un obbligo fondamentale per ogni azienda. Il recente provvedimento n. 571 dell’11 settembre 2025 del Garante Privacy conferma che anche una semplice richiesta informale del dipendente deve ricevere una risposta completa e tempestiva, senza ostacoli procedurali o rinvii.

Diritto di accesso ai dati personali: il caso esaminato dal Garante

Con il provvedimento n. 571 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha chiarito che il diritto di accesso ai dati personali, previsto dall’articolo 15 del GDPR, si applica anche alle richieste dei lavoratori che intendono ricevere documenti o attestati contenenti i propri dati.
Il caso riguardava un’ex dipendente di una società del settore ristorazione che aveva chiesto di ottenere gli attestati dei corsi di formazione e il certificato medico di idoneità. L’azienda, dopo mesi di silenzio e risposte parziali, ha consegnato la documentazione solo a seguito dell’intervento dell’Autorità.

Le motivazioni del datore di lavoro e la posizione dell’Autorità

Il datore di lavoro aveva sostenuto che gli attestati fossero a carico dell’azienda e non dovessero essere rilasciati, mentre il certificato medico spettasse al medico competente. Inoltre, aveva tentato di scaricare la responsabilità sul precedente datore, poiché i corsi erano stati organizzati prima del trasferimento del ramo d’azienda.
Il Garante ha respinto queste argomentazioni, precisando che gli attestati di formazione contengono dati personali e che, ai sensi dell’articolo 2112 del codice civile, il nuovo datore subentra in tutti i diritti e gli obblighi del precedente. L’azienda era quindi pienamente responsabile della gestione e dell’accesso ai dati.

Diritto di accesso ai dati personali: obblighi e tempi di risposta secondo il GDPR

Il Garante ha ribadito che il titolare del trattamento deve rispondere alle richieste di accesso entro un mese, anche quando la richiesta non fa esplicito riferimento al GDPR. Il diritto di accesso ai dati personali è un diritto fondamentale e il titolare non può imporre moduli o procedure particolari per esercitarlo.
Nel caso in esame, la società aveva risposto solo dopo sette mesi, violando i principi di correttezza, trasparenza e tempestività previsti dagli articoli 5, 12 e 15 del Regolamento. L’Autorità ha quindi accertato l’illiceità del trattamento, imponendo una sanzione di 1.000 euro e disponendo la pubblicazione del provvedimento.

Per approfondire > Lavoro e GDPR: il dipendente ha diritto ad accedere ai propri dati personali

Cosa imparano le aziende da questa sanzione

Questo provvedimento conferma che il diritto di accesso ai dati personali non è una formalità, ma un pilastro della trasparenza aziendale. Le aziende devono predisporre procedure chiare per gestire le richieste di dipendenti, clienti e collaboratori, garantendo tempi di risposta certi e documentati.
Il rispetto di tali obblighi non solo evita sanzioni, ma contribuisce a rafforzare la fiducia interna ed esterna, dimostrando una gestione responsabile dei dati.

Il provvedimento completo è disponibile qui

Per saperne di più > Le Linee Guida sul diritto di accesso ai dati personali


Hai bisogno di supporto per gestire le richieste di accesso o predisporre procedure GDPR-compliant?
Analizziamo la tua documentazione, definiamo le procedure operative e ti aiutiamo a garantire la conformità in ogni fase del trattamento dei dati.