Lavoro e GDPR: il dipendente ha diritto ad accedere ai propri dati personali anche quelli contenuti nella relazione dell’agenzia investigativa incaricata dall’azienda di controllarlo
Il reclamo del dipendente
Nel Novembre del 2021, un cittadino ha presentato ricorso al Garante Privacy in relazione al mancato riscontro alla richiesta di accesso ai propri dati personali trattati da parte dell’azienda per la quale è dipendente.
In dettaglio, il dipendente aveva inviato alla società una richiesta di esercizio del diritto di accesso ai propri dati per poter esercitare il diritto di difesa rispetto ad una contestazione disciplinare subita in ambito lavorativo. Il mancato riscontro da parte dell’azienda ha spinto il dipendente a rivolgersi al Garante, poichè, come si legge nel provvedimento
“Ciò (il mancato riscontro n.d.r) avrebbe comportato l’impossibilità per l’interessato di esercitare i propri diritti in materia di protezione dei dati personali e, come ulteriore conseguenza, l’impossibilità di esercitare pienamente il proprio diritto di difesa nell’ambito del procedimento giurisdizionale di impugnazione dell’atto di licenziamento con il quale si è concluso il procedimento disciplinare”.
Non solo: il dipendente, impugnato il licenziamento, in corso di giudizio ha appreso che l’azienda si era rivolta ad un’agenzia investigativa per svolgere indagini sul dipendente. Indagini a seguito delle quali l’azienda ha deciso di applicare la contestazione disciplinare. Il dipendente ha quindi presentato una seconda memoria, richiedendo al garante di
- obbligare il responsabile del trattamento a concedere l’accesso ai dati, dando riscontro alla richiesta di accesso;
- imporre una limitazione, provvisoria o defintiva, al trattamento dei propri dati da parte dell’azienda.
Per saperne di più > Dati di geolocalizzazione: il dipendente ha diritto di accesso
Lavoro e GDPR: il provvedimento del Garante ribadisce e tutela il diritto di accesso ai dati personali
A seguito di istruttoria, nel corso della quale il Garante Privacy ha potuto ricostruire l’intera vicenda, l’Autorità ha optato per comminare all’azienda una sanzione dell’ammontare di 10.000 euro.
Il Garante ha infatti stabilito che l’azienda aveva l’obbligo di fornire al lavoratore tutti i dati raccolti su di lui: non solo, quindi, quelli compresi nella relazione investigativa ma anche quelli non trasferiti nella contestazione disciplinare (tra i quali figurano fotografie, rilevazioni GPS, descrizione di persone e contesti ecc…). D’altronde, spiega il Garante, sono informazioni che
“in ipotesi, avrebbero anche potuto essere utili per l’esercizio del diritto di difesa”.
Non solo: all’azienda l’Autorità ha anche addossato la responsabilità di aver violato il principio di correttezza per un duplice motivo. In primo luogo l’azienda, nei riscontri forniti al lavoratore, non ha mai fatto cenno alla relazione investigativa. In seconod luogo, invece, non ha motivato in alcun modo il diniego di accesso ai dati opposto alla richiesta di accesso dell’interessato.
Insomma il principio ribadito dal Garante privacy è chiaro: il titolare del trattamento ha il dovere di fornire l’accesso ai propri dati all’interessato in forma completa e aggiornata. Deve, inoltre, indicare anche l’origine dei dati, qualora la raccolta non sia stata effettuata direttamente dal titolare del trattamento.
Qui è disponibile il provvedimento completo
Per saperne di più > Le Linee Guida sul diritto di accesso ai dati personali
Non sei sicuro se la tua azienda sia conforme al GDPR? Non improvvisare