Accesso del dipendente a report investigativi: quando e a quali condizioni

---

Condividi l'articolo:

---

Quando e a quali condizioni deve essere garantito al dipendente l’accesso ai report investigativi utilizzati dal datore di lavoro per provarne la condotta infedele che ne giustifichi il licenziamento?

Questo il tema del Parere del Garante per la privacy n. 9927300 del 6 luglio 2023, reso noto dall’Autorità con newsletter pubblicata sul proprio sito istituzionale l’11 settembre 2023.

Andiamo a vedere i termini della questione, i cui contorni presentano vari profili di interesse che, pur confermando i precedenti orientamenti espressi dal Garante, apportano tuttavia nuovi spunti di riflessione nel delicato equilibrio tra la tutela dei dati personali e la necessità di un’azienda di condurre indagini interne quando sussiste un sospetto comportamento illecito.

Accesso ai dati: le richieste del lavoratore

Nel caso in argomento, un dipendente che aveva ricevuto una contestazione disciplinare aveva chiesto, ex art. 15 del GDPR, di accedere alle informazioni che lo riguardavano (nella fattispecie, report di agenzia investigativa) per difendersi nel procedimento legale allora in corso.

L’azienda si era inizialmente rifiutata di fornire tale possibilità, sostenendo che la richiesta era generica e priva dei dettagli sufficienti a individuare i dati che il lavoratore aveva necessità di consultare.

Solo a seguito dell’inoltro di una nuova richiesta, opportunamente dettagliata, la società avrebbe fornito le informazioni; il mancato riscontro iniziale da parte dell’azienda avrebbe comportato, secondo il lavoratore, l’impossibilità di esercitare i propri diritti in tema di protezione dei dati personali e il proprio diritto alla difesa, con conseguente licenziamento.

Ultimate le indagini sulla vicenda, il Garante ha notificato alla Società il trattamento illecito dei dati da essa effettuato con riferimento all’articolo 5, paragrafo 1, lettera a) del GDPR, che dispone che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e agli articoli 12 e 15 che dispongono che il titolare del trattamento fornisca all’interessato informazioni chiare, concise e facilmente accessibili riguardo al trattamento dei propri dati personali, e il diritto di accesso dell’interessato a tali dati.

Da parte sua, la Società ha risposto di avere gradualmente acquisito consapevolezza della natura della richiesta del reclamante e di riconoscere un errore nell’interpretazione iniziale sottolineando, però, che la violazione non avrebbe compromesso il diritto di difesa del lavoratore.

Inoltre, e qui sta un punto importante della questione, l’azienda ha ritenuto legittima la facoltà di limitare l’accesso del reclamante a tali dati in quanto, in caso contrario, sarebbe stata compromessa la propria difesa in sede giudiziaria.

Accesso ai dati: un diritto da tutelare

La protezione dei dati personali e la privacy dei cittadini sono principi sanciti dal GDPR che si applicano anche al contesto lavorativo e al rapporto azienda-dipendente.

Il Garante, con tale provvedimento, ha quindi ribadito che l’azienda aveva l’obbligo di fornire al lavoratore tutti i dati raccolti durante l’indagine, anche quelli non inclusi nella contestazione disciplinare e concretizzatisi in report di agenzia investigativa, e ha imposto alla società una multa di diecimila euro.

Di fatto, la società ha violato le norme sulla protezione dei dati personali, non ha fornito in maniera adeguata i dati richiesti e ha violato il principio di correttezza nel trattamento dei dati personali non avendo indicato con chiarezza, all’inizio dello scambio di comunicazioni, l’origine dei dati utilizzati per la contestazione disciplinare e non avendo dimostrato la presenza di un effettivo ostacolo all’esercizio di un proprio diritto.

Attraverso questa disposizione emerge quindi la volontà del Garante di tutelare il diritto di accesso dei dipendenti ai propri dati personali con particolare riferimento alle situazioni in cui tali dati sono utilizzati per prendere decisioni disciplinari o di licenziamento.

Il provvedimento sottolinea come le aziende, in conformità con quanto definito dal GDPR, debbano essere trasparenti riguardo alle informazioni raccolte su ciascun dipendente e devono fornire accesso completo a tale tipo di informazioni quando richiesto.

Accesso ai dati: i limiti

Pur aderendo all’ottica fin qui esposta, va detto che non sussiste obbligo assoluto per le aziende di rivelare da subito tutte le informazioni al dipendente, potendosi altrimenti verificare uno svantaggio processuale.

Il datore di lavoro ha infatti un utile strumento per non rivelare i dati in possesso, limitatamente a quelli necessari in un contenzioso: si tratta dell'articolo 2-undecies, comma 1, lettera e) del Codice della privacy che limita il diritto di accesso del lavoratore se dallo stesso possa derivare un pregiudizio effettivo e concreto all'esercizio di un diritto dell’azienda in sede giudiziaria.

Ne deriva che, se le informazioni sul lavoratore servono al datore di lavoro per difendere la propria versione nella causa di lavoro, costui deve spiegarlo chiaramente e subito (entro un mese) nella risposta alla richiesta di accesso; in caso contrario, vale a dire in mancanza di questa chiarezza nella motivazione del tempestivo diniego, scatta la sanzione del Garante, come nella vicenda in esame.