Accesso ai dati personali: il dipendente ha diritto di accedere al proprio fascicolo personale anche a seguito del licenziamento

Massima

Il diritto di accesso ai dati personali da parte del lavoratore costituisce un principio cardine del Regolamento Generale sulla Protezione dei Dati (GDPR), applicabile anche nel rapporto di lavoro. Tale diritto consente al lavoratore di controllare la gestione delle informazioni che lo riguardano, garantendo una piena trasparenza nella relazione con il datore di lavoro. Il Provvedimento n. 137 del 2024 del Garante Privacy, che ha imposto una sanzione di 20.000 euro ad una Banca di Credito Cooperativo, rappresenta un esempio concreto di come le aziende possano incorrere in violazioni qualora non gestiscono in modo corretto le richieste dei soggetti interessati.

Il caso

L'ex datore di lavoro non fornisce riscontro idoneo alla richiesta di accesso

Il provvedimento sanzionatorio in esame trae origine da un reclamo presentato da una ex dipendente della Banca di Credito Cooperativo, la quale aveva richiesto di accedere al proprio fascicolo personale per ottenere informazioni riguardanti una sanzione disciplinare a lei comminata cui seguì il licenziamento. In particolare, l'istanza mirava ad ottenere i dati e la copia della documentazione racchiusi nel fascicolo del procedimento disciplinare per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardavano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti confluiti nella sanzione disciplinare irrogata dalla Banca.  Quest'ultima, tuttavia, aveva risposto fornendo solo una parte della documentazione richiesta, omettendo specificamente la corrispondenza intercorsa con una terza parte che accusava la dipendente di un illecito. La mancata consegna di parte della documentazione è stata giustificata dalla banca sulla base di due motivazioni principali: la necessità di proteggere la riservatezza della terza parte coinvolta e il diritto di difesa di quest'ultima.

La questione

L'ex dipendente può accedere al proprio fascicolo per comprendere la causa del licenziamento

Un dipendente può controllare la gestione delle informazioni che lo riguardano a seguito del proprio licenziamento? Il datore di lavoro potrebbe essere sanzionato se non gestisce in modo corretto le richieste pervenute da un dipendente?

Le soluzioni giuridiche  

I titolari del trattamento devono dotarsi di procedure interne per la gestione dei dati personali e rispondere coerentemente alle richieste pervenute            

Il Provvedimento del Garante Privacy n.137 del 7 marzo 2024 ha ritenuto che le giustificazioni presentate dall'Istituto bancario fossero in contrasto con le disposizioni del GDPR. Secondo l'articolo 12, paragrafo 4, del Regolamento, il titolare del trattamento deve sempre informare l'interessato dei motivi per cui eventuali dati non vengono forniti, e nel caso in esame la banca non aveva adempiuto a tale obbligo in maniera sufficiente. Il diritto di accesso ai dati personali è disciplinato dall'articolo 15 del Regolamento (UE) 2016/679 (GDPR), il quale stabilisce che ogni interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. In caso positivo l'interessato ha il diritto di accedere ai dati e di ottenere informazioni dettagliate sul trattamento, inclusa la finalità, le categorie di dati coinvolti, i destinatari e i trasferimenti dei dati verso Paesi terzi. L'obiettivo principale di questa disposizione è quello di garantire un controllo consapevole da parte degli interessati sui propri dati, specialmente in situazioni come il rapporto di lavoro, dove la gestione delle informazioni personali può avere un impatto significativo sulla carriera e sul benessere del dipendente.

Nel caso analizzato la reclamante lamentava che il riscontro fornito dal suo ex datore di lavoro non fosse idoneo, in quanto consistente in una “comunicazione ad elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare” mancando delle ulteriori informazioni in base alle quali le era stata irrogata la sanzione disciplinare. Quest'ultima era stata inflitta poiché il datore di lavoro aveva accertato un illecito commesso dalla ex dipendente, la quale aveva comunicato illegittimamente le informazioni riservate di un correntista (e proprio fratello) per utilizzarle nell'ambito di un procedimento giudiziario.

A fronte della richiesta di integrazioni del Garante Privacy, la Banca procedeva con la trasmissione della documentazione integrativa, consistente nella corrispondenza intercorsa tra la Banca stessa e un soggetto terzo e che, sulla base di quanto emerso dall'istruttoria svolta nonché delle dichiarazioni della Banca stessa, costituiva parte integrante degli atti sottesi al procedimento disciplinare. In sostanza dalla corrispondenza tra la Banca e il soggetto terzo emergeva che quest'ultimo lamentava l'illecita comunicazione di informazioni riservate di un correntista.

La Banca, nelle note di riscontro presentate al Garante privacy ha motivato la mancata iniziale ostensione di tale documentazione per le implicazioni che ne sarebbero derivate al diritto di difesa e alla tutela della riservatezza del terzo.

In riferimento alla corrispondenza intercorsa tra un ex dipendente e soggetti terzi, in generale,  occorre richiamare l'interpretazione consolidata del Garante Privacy oltre che della Giurisprudenza. Premesso che la e-mail del dipendente, secondo l'interpretazione consolidata del Garante, rientra nella sfera di protezione della vita privata del lavoratore, è bene che il datore di lavoro tenga in considerazione che non può accedere in modo indiscriminato alle e-mail del dipendente, per di più se tale accesso avvenga per attuare controlli sul lavoratore interessato.

Le ragioni di accesso alla e-mail del dipendente possono essere varie: ad es. il datore di lavoro potrebbe avere la necessità di accedere alla e-mail del lavoratore in caso di assenza non programmata, improvvisa o prolungata del lavoratore oppure per improrogabili necessità legate all'attività lavorativa ma anche per difendersi in giudizio oppure per accertare specificamente condotte illecite del dipendente. Altro elemento rilevante è il tempo: l'accesso alla e-mail del lavoratore può avvenire in costanza di rapporto lavorativo oppure in seguito alla cessazione del rapporto, anche dopo un licenziamento.

In tutti questi casi, l'interesse del Titolare ad accedere alle informazioni necessarie all'efficiente gestione della propria attività deve essere sempre contemperato con la legittima aspettativa di riservatezza sulla corrispondenza da parte del dipendente (o ex-dipendente).

In materia di controlli, sul piano giuslavoristico, possiamo richiamare alcuni provvedimenti della Corte di Cassazione. Gli Ermellini con la Sent. n. 25732 del 22.09.2021, Sez. lavoro hanno posto la distinzione tra i controlli difensivi in senso lato e in senso stretto: “occorre perciò distinguere tra i controlli a difesa del patrimonio aziendale che riguardano tutti i dipendenti (o gruppi di dipendenti) nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio, controlli che dovranno necessariamente essere realizzati nel rispetto delle previsioni dell'art. 4 novellato in tutti i suoi aspetti e “controlli difensivi” in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro. Si può ritenere che questi ultimi controlli, anche se effettuati con strumenti tecnologici, non avendo ad oggetto la normale attività del lavoratore, si situino, anche oggi, all'esterno del perimetro applicativo dell'art. 4. Per poter essere in ipotesi legittimo, il controllo “difensivo in senso stretto” dovrebbe quindi essere mirato, nonché attuato ex post, ossia a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto, sicché non avrebbe ad oggetto l'attività” – in senso tecnico – del lavoratore medesimo.

In materia di controlli difensivi in senso stretto, la Cassazione, Sez. Lavoro, n. 18168 del 26.6.2023 ha confermato come “il controllo “difensivo in senso stretto” deve essere “mirato” ed “attuato ex post”, ossia “a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto”, perché solo a partire “da quel momento” il datore può provvedere alla raccolta di informazioni utilizzabili.

Sostanzialmente, se ne desume che, affinché il datore di lavoro possa accedere alla e-mail del dipendente, e quindi nella sua sfera coperta dalle garanzie costituzionali, occorre che il controllo sia mirato e avvenga ex post, ossia a seguito del fondato sospetto che il lavoratore abbia posto in essere un comportamento illecito. Oltre a ciò, occorrerà verificare contestualmente che siano stati ottemperati gli adempimenti in ambito privacy di informazione e trasparenza nei confronti del personale aziendale.

Sebbene l'orientamento giurisprudenziale e l'interpretazione del Garante siano posti su piani diversi, una recente pronuncia dell'Autorità giudiziaria ne impone una interpretazione più “rigorosa”.

Il Tribunale di Roma, infatti, nella sentenza n. 1870 del 14 febbraio 2024, ha dichiarato la nullità del licenziamento intimato dalla società, a seguito di un accesso illecito alle e-mail di un suo dipendente. Nell'accogliere tale ricorso, il Tribunale ha precisato le modalità nonché i limiti entro cui possono essere effettuati i controlli, confermando altresì come l'accesso illecito alla corrispondenza sia avvenuto in contrasto con la normativa applicabile.

In tale pronuncia, il giudice di merito ha confermato quanto pronunciato dalla Cassazione, affermando come i controlli debbano avvenire non solo ex post, ossia successivamente all'insorgere di un fondato sospetto che giustifichi tale accesso, ma anche che solo le notizie successive al legittimo controllo possono essere utilizzate a fini disciplinari.

Quanto al diritto di accesso, questo deve essere esercitato senza che l'interessato sia costretto a giustificare le proprie motivazioni; queste ultime non erano state rese note alla reclamante, a cui è stata solo omessa la documentazione integrativa e segnalato “il difetto di interesse all'accesso sia perché il rapporto di lavoro è cessato nel lontano 2014 sia perché la sanzione disciplinare emessa non è stata impugnata nei termini”. Peraltro, il Garante ha affermato che “dalla lettura del combinato disposto degli artt. 12 e 15 del Regolamento non risulta la necessità per gli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né risulta riconosciuta al titolare del trattamento la possibilità di chiedere i motivi della richiesta”. Tale interpretazione è stata chiarita anche dall'EBDP mediante l'approvazione delle Linee guida sul diritto di accesso adottate dal Comitato Europeo per la Protezione dei Dati (EDPB). Queste linee guida ribadiscono che il titolare del trattamento non può sindacare sulle ragioni che motivano una richiesta di accesso ai dati. In altre parole, l'azienda non può negare l'accesso solo perché sospetta che l'interessato possa utilizzare le informazioni ottenute per intentare una causa o contestare decisioni prese dal datore di lavoro.

Sulla base di quanto sopra detto, la condotta della Banca è stata ritenuta non conforme alla disposizione dell'art. 12, par. 4, del Regolamento, non avendo provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo stata oggetto di specifica richiesta. Tale approccio mira a garantire una piena trasparenza e controllo sui dati personali, che rappresentano un diritto fondamentale tutelato anche dalla Carta dei Diritti Fondamentali dell'Unione Europea.

In riferimento alle esigenze sottese alla richiesta di accesso avanzata dalla reclamante, si osserva che il diritto di accesso ha lo scopo di consentire all'interessato di avere il controllo sui dati personali che lo riguardano e, in particolare, di “essere consapevole del trattamento e verificarne la liceità” come disciplina il Considerando 63 del GDPR; tuttavia, ciò non comporta che tale diritto debba essere negato o limitato quando alla base della richiesta vi sia il perseguimento di un obiettivo diverso.

Il Garante ha pertanto concluso che la banca avrebbe dovuto fornire alla dipendente tutte le informazioni richieste, inclusa la corrispondenza rilevante per la sanzione disciplinare. La banca, omettendo parte della documentazione senza fornire una giustificazione adeguata, ha violato il GDPR, rendendosi così passibile di una sanzione.

La giurisprudenza di merito ha in diverse occasioni ribadito che il diritto di accesso deriva, oltre che dalla normativa in materia di protezione dei dati personali, anche dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale”. Coerentemente con questa impostazione, l'Autorità, nei propri provvedimenti, sovente ha richiamato le organizzazioni a dare riscontro alle istanze provenienti dagli interessati in relazione alle richieste attinenti al rapporto di lavoro e, quindi, relative a dati e informazioni contenute nel fascicolo personale, anche quando si tratta di informazioni sottese a procedimenti disciplinari.

La mancata osservanza delle disposizioni del GDPR, riscontrate dal Garante Privacy può comportare sanzioni economiche significative, come dimostra la multa di 20.000 euro inflitta alla banca.

Tuttavia, le conseguenze possono essere anche più gravi, dal momento che una gestione inadeguata delle richieste di accesso può portare a contenziosi giudiziari e danni alla reputazione dell'azienda.

Con riferimento al formato con cui i dati devono essere resi disponibili all'istante e, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, deve osservarsi che, ai sensi dell'art. 12, del Regolamento “il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Tale norma, correttamente interpretata, attribuisce al titolare del trattamento, nell'ambito del principio di accountability, il compito di individuare la forma più completa e soddisfacente con cui riscontrare le istanze di accesso, nel rispetto di quanto previsto dall'art. 12 sopra richiamato.

Anche in tal caso, giova ricordare i chiarimenti resi dall'EBDP nelle Linee Guida sul diritto di accesso laddove, rispetto a tale particolare questione, si precisa che “L'obbligo di fornire una copia non va inteso come un diritto supplementare dell'interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida). Per cui, “fare una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere potrebbe, in alcuni casi, essere un modo per soddisfare questi requisiti. In altri casi le informazioni sono meglio comprese fornendo una copia dell'effettivo documento contenente i dati personali. Pertanto, la forma più adatta deve essere decisa caso per caso” (v. punto 153 delle Linee Guida).

Rispetto al caso in esame, si osserva come la consegna della documentazione contenente i dati personali della reclamante sottesa al procedimento disciplinare costituiva l'unica modalità idonea a consentire l'accesso secondo i richiamati principi di correttezza e trasparenza.

Osservazioni

Il diritto di accesso ai dati personali rappresenta uno strumento rilevante per la tutela dei diritti del lavoratore, soprattutto in situazioni delicate come i procedimenti disciplinari.

Il Provvedimento del Garante Privacy analizzato conferma che i titolari del trattamento (quali datori di lavoro, organizzazioni ecc.) non possono limitare o negare tale diritto senza valide ragioni. Al contrario, è necessario che gli stessi adottino un approccio trasparente e collaborativo nella gestione dei dati personali dei dipendenti, rispettando sia il GDPR che i principi di buona fede e correttezza.                            

Le aziende devono adottare politiche interne chiare e conformi alle disposizioni del GDPR come l'implementazione di procedure specifiche per la gestione delle richieste degli interessati, assicurandosi che ogni richiesta venga trattata in modo tempestivo e completo,  modelli organizzativi privacy mediante i quali il personale incaricato del trattamento dei dati deve essere formato adeguatamente, affinché comprenda l'importanza della corretta gestione dei dati personali in termini di trasparenza e del rispetto dei diritti degli interessati.

I suddetti presidi organizzativi dovrebbero essere definiti, altresì, in termini di procedure interne volte a regolamentare gli accessi alla casella di posta elettronica, definendone il perimetro e i limiti dell'accesso oltreché individuare i soggetti da coinvolgere, tra cui sarebbe buona prassi far rientrare il DPO o l'ufficio privacy o, in assenza, anche mediante l'ausilio di consulenti qualificati. Inoltre, occorre verificare che siano rispettati anche i principi generali del trattamento, tra cui il principio di limitazione delle finalità e minimizzazione dei dati, oltre a verificare che sia stata rilasciata idonea informativa in riferimento al trattamento dei dati relativi alla posta elettronica.