Il Garante per la protezione dei dati personali ha comminato una sanzione pari a 20 mila euro ad una società e, nello specifico, un istituto bancario, per aver violato gli artt. 12 e 15 del Regolamento UE n. 2016/679 (di seguito “GDPR”).

La vicenda e l’istruttoria avviata del Garante

L’ex dipendente di un istituto di credito ha formulato una richiesta di accesso ai propri dati personali, ai sensi dell’art. 15 del GDPR, al fine di ottenere l’accesso e la copia dei dati contenuti nel proprio fascicolo personale, così da conoscere, in modo dettagliato, tutte le informazioni che la riguardavano e che avevano comportato l’irrogazione di una sanzione disciplinare nei suoi confronti.

Ricevuta la richiesta, l’istituto bancario ha unicamente provveduto a comunicare ed elencare all’ex dipendente, tra l’altro in modo incompleto, la corrispondenza intercorsa tra le parti e relativa al menzionato procedimento disciplinare, senza però fornire le ulteriori informazioni in base alle quali è stata irrogata la sanzione disciplinare.

In considerazione di ciò e ritenendo che la risposta fornita dall’istituto bancario non potesse ritenersi idonea e soddisfacente, la reclamante ha presentato formale reclamo al Garante.

Appreso del reclamo e avviata la sua fase istruttoria, l’istituto di credito ha immediatamente provveduto alla trasmissione all’ex dipendente dell’ulteriore documentazione contenuta nel suo fascicolo e, nello specifico, della corrispondenza intrattenuta dalla banca con un terzo che lamentava l’illecita comunicazione di informazioni riservate di un correntista, fratello della reclamante, e il loro utilizzo da parte di quest’ultima nel contesto di un procedimento giudiziario.

Questa successiva comunicazione di informazioni è stata giustificata dall’istituto di credito nel seguente modo:

  • la mancata iniziale comunicazione di tutta la documentazione era derivata dalla volontà di proteggere il diritto di difesa e di riservatezza del terzo coinvolto. Motivazione, questa, che non era, tuttavia, stata resa nota alla reclamante;
  • il diritto di accesso dovrebbe riguardare i soli dati personali, nonché le sole informazioni previste dal par. 1 dell’art. 15 GDPR e non anche i documenti che li contengono oppure quelli aventi ad oggetto informazioni riferite a vicende e soggetti terzi, dovendo essere limitato al fine di tutelare i diritti e le libertà altrui, come il diritto di difesa della banca stessa.

Le osservazioni del Garante

All’esito dell’istruttoria, il Garante ha svolto una serie di osservazioni di carattere generale e di cui i titolari del trattamento, destinatari di una richiesta di accesso ai dati, devono sicuramente tenere conto.

Vediamole brevemente.

  1. Non rendere noti i motivi della mancata consegna e comunicazione della documentazione, oggetto di specifica richiesta da parte dell’interessato che esercita il proprio diritto di accesso, non è conforme al GDPR. L’art. 12 par. 4 del GDPR prevede, infatti, che qualora il titolare del trattamento non ottemperi alla richiesta dell’interessato, debba informarlo, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre un reclamo al Garante e un ricorso giurisdizionale.
  2. Il diritto di accesso non può essere negato o limitato a seconda del motivo della richiesta. Il testo del GDPR non impone agli interessati di indicare un motivo o le particolari esigenze che giustifichino l’istanza di accesso ai dati e, dal canto suo, il titolare del trattamento non può nemmeno chiedere che vengano a lui comunicati tali motivi. Ciò viene, peraltro, precisato anche dalle Linee guida sul diritto di accesso emanate dal Comitato europeo per la protezione dei dati (di seguito “EDPB”) ed è quanto risulta dal costante orientamento giurisprudenziale della Corte di Giustizia.

Pertanto, la richiesta di accedere a tutti i dati contenuti nel proprio fascicolo personale, anche se sottesi ad un procedimento disciplinare, è del tutto lecita e la sua evasione non può essere subordinata al verificarsi di certe condizioni o al perseguimento di obiettivi specifici (peraltro non previsti dal legislatore).

  • I titolari del trattamento devono dare riscontro alle istanze degli interessati connesse al loro rapporto di lavoro – e, quindi, relative a dati ed informazioni contenute nel fascicolo personale – anche quando si tratta di informazioni legate a procedimenti disciplinari. Il diritto di accesso, infatti, deriva, oltre che dalla normativa privacy, anche dal rispetto dei principi di buona fede e correttezza, come confermato dal fatto che “da tempo, la contrattazione collettiva del settore in oggetto prevede che l’azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall’ente o dallo stesso dipendente, che attengono al percorso professionale, all’attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale”.
  • Nell’ambito del principio di accountability spetta al titolare del trattamento il compito di individuare la forma più completa ed esauriente con cui rispondere alle istanze di accesso, tenendo conto del fatto che l’art. 12 del GDPR impone di fornire agli interessati tutte le informazioni relative al trattamento dei loro dati personali “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. In particolare, nelle Linee Guida sul diritto di accesso dell’EDPB si precisa che la forma più adatta deve essere decisa caso per caso e che, talvolta, le informazioni vengono meglio comprese dall’interessato se viene loro fornita una copia del documento contenente i dati personali.

Nel caso di specie, la consegna della documentazione contenente i dati personali connessi al procedimento disciplinare dell’ex dipendente sarebbe stata l’unica modalità idonea a permetterle l’accesso.

Suggerimenti operativi

Dalla lettura del provvedimento in esame emerge, quindi ed ancora una volta, l’esigenza per i titolari del trattamento di porre in essere tutti gli adempimenti necessari al fine di evitare intoppi durante l’evasione delle richieste avanzate dagli interessati e, soprattutto, le ingenti sanzioni da parte del Garante.

In considerazione di ciò e sulla base delle osservazioni svolte dallo stesso Garante, i titolari del trattamento dovrebbero avere cura di:

  • predisporre una procedura ad hoc per riscontrare le istanze di esercizio dei diritti avanzate dagli interessati ai sensi del GDPR, che disciplini in modo chiaro e puntuale il processo di gestione delle richieste, nei tempi e con le modalità previste dalla normativa privacy;
  • formare adeguatamente il personale, che si occupa di tale processo;
  • valutare con attenzione gli aspetti che caratterizzano ogni singola istanza, in quanto la modalità di riscontro deve essere ponderata con riferimento al caso concreto.