In una recente decisione, risultata in un provvedimento emanato lo scorso 6 luglio, il Garante per la protezione dei dati personali ha sottolineato l’importanza di garantire il diritto dei dipendenti di accedere ai propri dati personali, anche nel caso in cui tali dati siano stati raccolti da un’agenzia investigativa incaricata dall’azienda.
La protezione dei dati personali e la privacy dei cittadini sono principi sanciti dal GDPR che, come disposto in modo chiaro, si applicano anche al contesto lavorativo, regolando il rapporto datore di lavoro – dipendente.
Telemarketing selvaggio, il Garante privacy multa Tiscali e Comparafacile: ecco perché
Indice degli argomenti
Accesso del dipendente alla relazione investigativa: i fatti
In questo senso, il Garante ha definito illecito il trattamento dei dati effettuato da parte di un’azienda di servizi di pubblica utilità, AcegasApsAmga S.p.A. nei confronti di un proprio dipendente che, avendo ricevuto una contestazione disciplinare, aveva chiesto, in conformità con l’articolo 15 del GDPR, di accedere alle informazioni che lo riguardavano per difendersi nel procedimento legale allora in corso.
L’azienda si era inizialmente rifiutata di fornire tale possibilità, sostenendo che la richiesta del dipendente non forniva dettagli sufficienti a individuare i dati che lo stesso aveva necessità di consultare. A seguito dell’inoltro di una nuova richiesta, opportunamente dettagliata, la società avrebbe quindi fornito tali informazioni.
Il mancato riscontro iniziale da parte dell’azienda avrebbe comportato l’impossibilità per l’interessato di esercitare i propri diritti in materia di protezione dei dati personali e, di conseguenza, questi non avrebbe potuto esercitare il proprio diritto alla difesa. Tale procedimento, infatti si è concluso con il licenziamento del dipendente.
Il 15 novembre 2021, egli ha quindi presentato un reclamo al Garante, che ha inoltrato alla società una richiesta di informazioni in merito alla vicenda.
A tale richiesta, l’azienda aveva risposto dicendo di avere incaricato, in modo legale, un’agenzia investigativa di condurre un’indagine su presunti comportamenti irregolari del reclamante. Ha sostenuto, inoltre, che nel contesto della richiesta presentata dal dipendente, sarebbe stato nelle sue possibilità limitare l’accesso del reclamante a tali dati se ciò avesse compromesso la difesa dell’azienda in sede giudiziaria.
Solo a seguito di questo evento, il dipendente avrebbe scoperto che la contestazione disciplinare di cui era oggetto era basata su informazioni provenienti da un’indagine condotta per mezzo di un’agenzia specializzata.
La sanzione per illecito trattamento dei dati
Ultimate le indagini sulla vicenda, il 13 aprile 2023, il Garante ha notificato alla Società che il trattamento dei dati da essa effettuato è risultato illecito in relazione al GDPR, facendo in particolare riferimento all’articolo 5, paragrafo 1, lettera a), che definisce che i dati personali debbano essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, e gli articoli 12 e 15 che dispongono, rispettivamente, che il titolare del trattamento fornisca all’interessato informazioni chiare, concise e facilmente accessibili riguardo al trattamento dei propri dati personali, e il diritto di accesso dell’interessato a tali dati.
Da parte sua, la Società ha risposto, l’11 maggio 2023, dichiarando di avere gradualmente acquisito consapevolezza della natura della richiesta del reclamante e di riconoscere un errore nell’interpretazione iniziale. Sottolineando, però, che la violazione avrebbe coinvolto solo la richiesta di un singolo individuo (il reclamante) e non avrebbe compromesso il suo diritto di difesa.
L’azienda ha definito la violazione come colposa e ha intrapreso una serie di misure correttive, comprese sessioni di formazione per il personale.
Il Garante, con tale provvedimento, ha ribadito che l’azienda aveva l’obbligo di fornire al lavoratore tutti i dati raccolti durante l’indagine, anche quelli non inclusi nella contestazione disciplinare, e ha imposto alla società una multa di 10.000 euro.
Violato anche il principio di correttezza dei dati
L’Autorità ha riscontrato, di fatto, che la società ha violato le norme sulla protezione dei dati personali in relazione al dipendente, non gli ha fornito in maniera adeguata i dati richiesti e ha violato il principio di correttezza nel trattamento dei dati personali, non avendo indicato con chiarezza, all’inizio dello scambio di comunicazioni, l’origine dei dati utilizzati per la contestazione disciplinare e senza aver sufficientemente dimostrato la presenza di un effettivo ostacolo all’esercizio di un proprio diritto.
L’accesso ai dati personali è un diritto da tutelare
Attraverso questa disposizione, il Garante intende tutelare il diritto di accesso dei dipendenti ai propri dati personali, in questo caso specifico con particolare riferimento alle situazioni in cui tali dati sono utilizzati per prendere decisioni disciplinari o di licenziamento.
Il provvedimento sottolinea come le aziende, in conformità con quanto definito dal GDPR, debbano essere trasparenti riguardo alle informazioni raccolte su ciascun dipendente e devono fornire accesso completo a tale tipo di informazioni quando richiesto.
Inoltre, questa decisione del Garante pone l’accento sulla necessità per le aziende di rispettare i principi fondamentali del GDPR in tutte le fasi del trattamento dei dati personali dei dipendenti, dalla raccolta alla conservazione e all’accesso.
Il caso in esame evidenzia il delicato equilibrio tra la protezione dei dati personali dei dipendenti e la necessità di un’azienda di condurre indagini interne quando sussiste un sospetto comportamento illecito.
