Il diritto di accesso è una garanzia essenziale prevista dal Regolamento (UE) 2016/679), e costituisce uno dei principi fondamentali per la protezione dei dati personali.
È regolato dall’articolo 15, e consente agli interessati di conoscere qual è l’uso delle proprie informazioni, dettagli sulla finalità, categorie di dati e destinatari. In particolare, l'articolo che lo prevede garantisce a ogni interessato il diritto di:
✔ Verificare l’esistenza di un trattamento dei propri dati personali;
✔ Accedere ai dati e conoscere le finalità del trattamento;
✔ Ottenere informazioni su categorie di dati, destinatari e tempi di conservazione;
Questo diritto può essere esercitato in qualsiasi momento e senza motivazione, con obbligo di risposta entro un mese (prorogabile a tre mesi per richieste complesse).
In particolare, nell’ambito lavorativo, è necessario trovare un equilibrio tra il diritto del lavoratore di accedere ai propri dati personali e il legittimo interesse del datore di lavoro a tutelare la propria attività e garantire la sicurezza aziendale, considerato che questo diritto consente al dipendente di controllare come il datore di lavoro gestisce le informazioni che lo riguardano, assicurando trasparenza e prevenendo abusi.
Il Garante per la protezione dei dati personali ha infatti stabilito che le informazioni richieste da parte dei dipendenti debbano essere fornite in maniera chiara, comprensibile e completa, limitandosi esclusivamente ai dati personali e non includendo quelli di natura impersonale. In questo senso, in vista della natura di tale diritto posseduto dall’interessato, il Garante afferma che il diritto di accesso ai dati personali può essere esercitato "per motivi di giustizia", per contestare eventuali violazioni nel trattamento dei dati, ed egli si riserva la facoltà di verificare la correttezza e la legittimità del trattamento, nonché il contesto in cui i dati vengono elaborati.
Questo diritto è stato ribadito da parte del Garante, in particolare con il Provvedimento del 7 marzo 2024 n. 137 verso la Banca di Credito Cooperativo, sanzionata per aver negato l’accesso completo ai dati richiesti da un ex dipendente, che aveva richiesto all’ente l’accesso al proprio fascicolo personale, compresa la documentazione relativa a un procedimento disciplinare subito. Tuttavia, la banca aveva fornito solo una parte delle informazioni, sostenendo che il diritto di accesso non includesse l’intero fascicolo personale, compresi i documenti relativi al procedimento disciplinare. In altre parole, riteneva che alcune informazioni non rientrassero nell’ambito dell’accesso ai dati personali garantito dalla normativa sulla privacy e sulla protezione dei dati e che l’interesse dell’ex lavoratore fosse ormai cessato, dato che il rapporto di lavoro era terminato da anni e la sanzione disciplinare non era stata impugnata. In tale contesto, come rilevato dal Garante, l’ente non ha adempiuto agli obblighi previsti dall’art. 12 del GDPR, omettendo di fornire un’adeguata motivazione circa il rifiuto di consegnare la documentazione richiesta, né poteva subordinare tale adempimento a condizioni o specifiche finalità.
Dopo aver analizzato il caso, il Garante ha stabilito alcuni principi chiave:
- L’accesso ai dati personali non può essere condizionato alla finalità per cui viene esercitato. L’interessato ha diritto di ottenere le informazioni indipendentemente dal motivo della richiesta.
- Il titolare del trattamento non può chiedere il motivo della richiesta né rifiutare l’accesso sulla base di valutazioni soggettive. La banca non aveva il diritto di negare l’accesso sostenendo che la documentazione non fosse più rilevante per il richiedente.
- L’istituto bancario avrebbe dovuto fornire tutti i documenti contenenti dati personali dell’ex dipendente, nel rispetto dei principi di correttezza e trasparenza.
Per la violazione accertata, il Garante ha sanzionato la banca con una sanzione di 20.000 euro, sottolineando ancora una volta l’importanza di garantire un accesso effettivo e trasparente ai dati personali.
In questo modo, la decisione in oggetto evidenzia che le aziende non possono limitare o negare il diritto di accesso senza valide motivazioni. Al contrario, devono adottare un approccio collaborativo e trasparente nella gestione dei dati personali, in conformità con il GDPR e con i principi di buona fede e trasparenza. Questo caso rappresenta un importante richiamo per tutti i datori di lavoro e titolari del trattamento, affinché garantiscano il pieno rispetto dei diritti degli interessati e adottino politiche adeguate alla gestione delle richieste di accesso ai dati personali.
Contenuti correlati
