Articolo pubblicato su diritto.it
Con il provvedimento nr 10007853 del 7 marzo 2024, il Garante privacy sanziona una Banca per aver accolto in maniera parziale una richiesta di accesso ai sensi dell’art. 15 GDPR, chiarendo che ragioni di tutela del diritto di difesa e della riservatezza dei terzi coinvolti o l’assenza di interesse all’accesso da parte della reclamante, non rappresentano motivazioni valide.
Premessa
Il lavoratore ha diritto di accedere ai propri dati conservati dal datore di lavoro, a prescindere dal motivo della richiesta.
È quanto ha ribadito il Garante privacy accogliendo il reclamo presentato da una donna che aveva chiesto, alla banca di cui era stata dipendente, di accedere al suo fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.
La banca non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo alcune informazioni in base alle quali era stata irrogata la sanzione disciplinare.
Solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, l’istituto di credito aveva consegnato all’ex dipendente l’ulteriore documentazione contenuta nel fascicolo.
Si trattava, in particolare, della corrispondenza intrattenuta dalla banca con una terza persona, che lamentava l’illecita comunicazione di informazioni riservate del marito correntista alla reclamante, che le aveva utilizzate nell’ambito di un procedimento giudiziario.
Controdeduzioni della Banca
La Banca, nelle note di riscontro all’Autorità, ha sostenuto di aver fornito, in risposta alla prima istanza avanzata, documentazione in misura sufficiente a conoscere tutte le informazioni che la riguardavano aventi ad oggetto i fatti e i comportamenti ritenuti irregolari confluiti nella sanzione disciplinare nonché in ordine ai fatti sottesi al procedimento disciplinare, alle valutazioni effettuate ed alle motivazioni che hanno condotto al licenziamento.
Secondo la Banca l’ostensione, inizialmente rifiutata, della corrispondenza intervenuta tra quest’ultima e la richiedente avrebbe potuto ledere non solo la riservatezza dell’interessata, ma anche i suoi diritti in sede giudiziaria evidenziando, altresì, che, comunque, la richiesta è stata avanzata in un momento in cui il procedimento disciplinare non poteva più essere impugnato.
Sosteneva la correttezza del proprio operato l’Istituto bancario, anche rispetto alla propria decisione di non provvedere alla comunicazione all’interessato dei motivi del mancato riscontro e delle tutele esperibili, sulla scorta del convincimento secondo cui l’art. 12 c. 4 GDPR assumerebbe un ruolo operativo suppletivo subordinato alla mancata risposta entro i termini previsti dall’art. 12, par. 3 GDPR.
In secondo luogo sosteneva la Banca che il diritto di accesso dovrebbe riguardare i dati personali nonché le informazioni previste dal par. 1 dell’art. 15 e non i documenti che li contengono, né quelli aventi ad oggetto informazioni riferite a vicende e soggetti terzi, dovendo anzi essere limitato per tutelare i diritti e le libertà altrui, come il diritto di difesa della banca Titolare del trattamento.
Conclude affermando che il generale diritto di accesso ex art. 15 del GDPR non può essere utilizzato dal lavoratore per ottenere un’utilità che il medesimo non può richiedere in base alle normative settoriali di riferimento, come quella giuslavoristica.
Esito dell’istruttoria
In primo luogo il Garante privacy ha osservato che la Banca di Credito Cooperativa di Spinazzola, alle cui dipendenze lavorava la reclamante e nei cui confronti è stata rivolta l’istanza di esercizio dei diritti ex art. 15 GDPR è stata cancellata a seguito di fusione, mediante incorporazione, in Banca di Credito Cooperativo Appulo Lucana soc. cooperativa in data 06/05/2022 e che, pertanto, sulla base di quanto previsto dall’art. 2504-bis c.c. e delle “Prescrizioni in materia di operazioni di fusione e scissione fra società” adottate dall’Autorità in data 08/04/2009 (reperibile sul sito web doc. n. 1609999), il presente provvedimento viene adottato nei confronti della società incorporante che subentra nei rapporti attivi e passivi della società incorporata.
Ciò posto, con riferimento alle argomentazioni addotte dalla Banca nelle memorie difensive sopra richiamate, si evidenza che la Banca procedeva a trasmettere documentazione integrativa solo dopo l’invito ricevuto dal Garante privacy, senza aver reso edotta la reclamante dei motivi di cui sopra. Limitandosi, al contrario, ad omettere la documentazione integrativa sulla scorta di un presunto difetto di interesse all’accesso sia perché il rapporto di lavoro è cessato nel lontano 2014 sia perché la sanzione disciplinare emessa, non è stata impugnata nei termini.
Alla luce di quanto sopra, la condotta della Banca è stata ritenuta non conforme alla disposizione dell’art. 12, par. 4, del Regolamento, non avendo provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo stata oggetto di specifica richiesta.
Ha osservato l’Autorità garante che il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità” (v. Cons.63 GDPR); tuttavia, ciò non comporta che tale diritto debba essere negato o limitato quando alla base della richiesta vi sia il perseguimento di un obiettivo diverso.
Infatti, dalla lettura del combinato disposto degli artt. 12 e 15 GDPR non risulta la necessità, per gli interessati, di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né risulta riconosciuta al titolare del trattamento la possibilità di chiedere i motivi della richiesta.
Tale interpretazione è stata chiarita anche dall’EBDP mediante l’approvazione delle Linee guida sul diritto di accesso (si veda, in particolare, il punto 2.1 in cui si legge che “i titolari del trattamento non dovrebbero valutare “perché” l’interessato richiede l’accesso, ma solo “cosa” richiede l’interessato (cfr. sezione 3 sull’analisi della richiesta) e se detengono dati personali relativi a tale persona (cfr. sezione 4). Pertanto, ad esempio, il titolare del trattamento non dovrebbe negare l’accesso per motivi o il sospetto che i dati richiesti possano essere utilizzati dall’interessato per difendersi in giudizio in caso di licenziamento o di controversia commerciale con il responsabile del trattamento) ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia (si veda, da ultimo la sentenza C307/22).
Pertanto, posto che la richiesta della reclamante di accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare che la riguarda è lecita, si rileva che la sua evasione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi, tra l’altro non previsti dal legislatore.
Rapporti tra diritto di accesso ai dati personali e diritto di accesso ai sensi dell’art. 7 della legge n. 300/1970
Il provvedimento in commento risulta di interesse anche perché torna sulla annosa questione delle divergenze tra diritto di accesso ai sensi dell’art. 15 GDPR e diritto del lavoratore ad avere informazioni su sanzioni erogate nei suoi confronti dal datore di lavoro.
La pronuncia della Cassazione civile, richiamata dalla parte nelle proprie memorie difensive, secondo cui il datore di lavoro non è obbligato a mettere a disposizione del lavoratore la documentazione aziendale riferita ai fatti alla base di un procedimento disciplinare, attiene a una situazione differente e non comparabile con quella in esame. Tale pronuncia, infatti, si riferisce alla particolare situazione in cui la richiesta è avanzata dal lavoratore nell’ambito del procedimento disciplinare di cui all’art. 7 della legge n. 300/1970.
Diversamente, la giurisprudenza di merito ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).
Coerentemente con questa impostazione, l’Autorità, nei propri provvedimenti, ha spesso richiamato i Titolari del trattamento a dare riscontro alle istanze provenienti dagli interessati in relazione alle richieste attinenti al rapporto di lavoro e, quindi, relative a dati e informazioni contenute nel fascicolo personale, anche quando si tratta di informazioni sottese a procedimenti disciplinari (da ultimo si veda il provvedimento n. 290 del 06/07/2023, doc. web n. 9927300).
Sul formato della copia dei dati personali oggetto di trattamento
Con riferimento al formato con cui i dati devono essere resi disponibili al richiedente, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, ha osservato il Garante privacy che, ai sensi dell’art. 12 GDPR “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Tale norma, correttamente interpretata, attribuisce al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso, nel rispetto di quanto previsto dall’art. 12 sopra richiamato.
Sul punto l’EBDP, nelle Linee Guida sul diritto di accesso (cit.) ha precisato che “l’obbligo di fornire una copia non va inteso come un diritto supplementare dell’interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida cit).
Per cui, “fare una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere potrebbe, in alcuni casi, essere un modo per soddisfare questi requisiti. In altri casi le informazioni sono meglio comprese fornendo una copia dell’effettivo documento contenente i dati personali. Pertanto, la forma più adatta deve essere decisa caso per caso” (v. punto 153 delle Linee Guida).
Rispetto al caso in esame, la consegna della documentazione contenente i dati personali della reclamante sottesa al procedimento disciplinare ad avviso del Garante privacy, costituiva l’unica modalità idonea a consentire l’accesso secondo i richiamati principi di correttezza e trasparenza.
Conclusioni
Nel sanzionare la banca per 20mila euro l’Autorità ha tenuto conto della natura, gravità e durata della violazione, ma anche dell’assenza di precedenti analoghi.
Il provvedimento in commento risulta di interesse sotto molteplici profili.
Il primo attiene al profilo soggettivo, allorquando ribadisce il principio secondo il quale, per effetto della fusione per incorporazione, la società incorporante assume i diritti e gli obblighi della società incorporata, proseguendo in tutti i rapporti (attivi e passivi) della medesima (anche processuali) anteriori alla fusione (art. 2504-bis, comma 1, cod. civ.) e che il medesimo effetto si produce anche in relazione alla fusione derivante dalla confluenza di più società in un nuovo soggetto.
Viene affrontato anche il tema dell’ampiezza del diritto di accesso ai sensi dell’art. 15 GDPR, il quale ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza. Tale diritto, tuttavia, non può essere negato o limitato a secondo della finalità della richiesta, tanto è vero che non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, essendo precluso al Titolare ogni valutazione sui motivi della medesima.
Infine non viene trascurato neppure l’aspetto “pratico”, relativo alle modalità con le quali il Titolare del trattamento deve fornire riscontro ad una richiesta del tipo di quella ricevuta dalla Banca, chiarendo che occorre di volta in volta, sulla scorta del principio di accountability, valutare se limitare il riscontro ad una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere oppure fornendo una copia del documento contenente i dati personali.
Se ne ricava, ancora una volta, la necessità per il Titolare del trattamento di predisporre una policy per il riscontro all’esercizio dei diritti ai sensi degli artt. 15 – 22 GDPR, che tenga conto dell’intero processo che inizia con la ricezione dell’istanza e termina con il riscontro da fornire, salvo motivate eccezioni, entro 30 gg, avendo cura di formare il personale adibito allo scopo e tenendo ferma una valutazione degli aspetti che caratterizzano ogni singola istanza, che deve necessariamente essere compiuta caso per caso.