Breve focus sulle questioni affrontate in tema di trattamenti dei dati personali nel contesto dei rapporti di lavoro con specifico riguardo al diritto di accesso da parte degli interessati ai propri dati personali.

1. LA RELAZIONE 2021 E LA RELATIVA STRUTTURA. I TEMI AFFRONTATI.

Come noto, il 7 luglio u.s., il Garante Privacy ha presentato al Senato la Relazione sull’attività svolta nell’anno 2021.

Trattasi di un documento che analizza in modo organico lo scenario nel quale l’Autorità Garante si è trovata ad operare lo scorso anno nel perseguimento dei propri obiettivi istituzionali a garanzia del rispetto della normativa vigente in materia di protezione dei dati personali.

La Relazione 2021 si articola in 4 parti e 27 capitoli.

1. La prima parte, intitolata “STATO DI ATTUAZIONE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI”, si compone di 3 capitoli, in cui si analizzano i vari provvedimenti normativi in materia di protezione dei dati personali nonché i rapporti del Garante con il Parlamento e le altre istituzioni. 
2. La seconda parte del documento, che ne costituisce il fulcro, è intitolata “L’ATTIVITA’ SVOLTA DAL GARANTE” e si compone dei capitoli dal 4 a 26, nei quali viene rappresentata l’attività condotta dal Garante Privacy nei diversi settori interessati dai temi della protezione dei dati personali. 

Qui vengono, tra gli altri, esposti i provvedimenti e le decisioni più significativi assunti in materia di sanità, ricerca scientifica e statistica, di trattamenti in ambito giudiziario e da parte di forze di polizia, di attività giornalistica, di cyberbullismo, di revenge porn, di marketing, di internet e servizi di comunicazione elettronica, di protezione dei dati personali nel rapporto di lavoro, di attività economiche, associazioni, partiti politici e confessioni religiose, di intelligenza artificiale, di data breach, di trasferimento di dati personali all’estero.

3. La terza parte, intitolata “L’UFFICIO DEL GARANTE”, è costituita dal capitolo 27, che esamina “La gestione amministrativa e dei sistemi informatici”, con riferimento al bilancio ed alla gestione economica-finanziaria dell’Autorità, all’organizzazione dell’Ufficio, alla “trasparenza” e ad altri aspetti tecnici e organizzativi.
4. La quarta ed ultima parte della Relazione, intitolata “I DATI STATISTICI”, contiene, infine, una serie di tabelle che sintetizzano le principali attività dell’Autorità nel corso del precedente anno.

Entrando nel merito del documento, dalla sua analisi emerge come nel corso del 2021 il Garante abbia:

1. Pronunciato 448 provvedimenti collegiali;
2. Fornito riscontro a 9.184 tra reclami e segnalazioni;
3. Reso 72 pareri, tra cui 7 su norme di rango primario;
4. Eseguito 12 comunicazioni di notizie di reato all’autorità giudiziaria;
5. Emesso 388 provvedimenti correttivi e sanzionatori con un importo riscosso pari a circa 13.500.000 euro;
6. Eseguito 49 ispezioni, considerata la rilevanza dell’emergenza pandemica;
7. Fornito riscontro a oltre 18.700 quesiti, ricevendo oltre 5.800.000 visite al proprio sito web.

L’attività del Garante si è svolta anche a livello internazionale.

A tal riguardo, si segnala la partecipazione a 281 riunioni ed il contributo all’adozione di linee guida su rilevanti e complesse tematiche nonché alla elaborazione di importanti pareri nell’ambito del Comitato europeo per la protezione dei dati (Edpb), che riunisce le Autorità di protezione dati dello Spazio Economico Europeo.

2. FOCUS. RAPPORTO DI LAVORO E DIRITTO DI ACCESSO DEL LAVORATORE AI PROPRI DATI.

Tra i temi più rilevanti più volte affrontati dall’Autorità nel corso dei propri interventi, vi è certamente quello afferente alla gestione dei dati nell’ambito dei rapporti di lavoro.

Qui il Garante, nel 2021 ha assunto diverse importanti decisioni afferenti a numerosi aspetti emergenti nella relazione datore di lavoro-lavoratore.

Tra questi, quello relativo all’esercizio dei diritti da parte del lavoratore, con riferimento specifico al diritto di accesso ai dati personali oggetto di trattamento.

Sul punto, al capitolo 14.5 della Relazione l’Autorità rammenta che il titolare del trattamento deve agevolare l’esercizio dei diritti riconosciuti agli interessati ai sensi dell’articolo 12 del GDPR, “fornendo un chiaro ed adeguato riscontro agli stessi nel rispetto dei termini individuati dall’ordinamento”, e precisa che lo stesso titolare del trattamento ha l’obbligo di indicare in modo chiaro i motivi del diniego, essendo onerato, altresì, di informare l’interessato della possibilità di presentare reclamo al Garante o, alternativamente, ricorso giurisdizionale.

In applicazione di tali principi, il Garante, con provvedimento n. 63 dell’11.2.2021 (doc. web n. 9567218), ha dichiarato l’illiceità della condotta di una società, la quale, in riscontro a due successive istanze ai sensi dell’art. 15 del RGPD, con cui il lavoratore interessato chiedeva l’accesso agli attestati di formazione e in generale al proprio fascicolo personale dalla stessa detenuto in qualità di datore di lavoro, prima dichiarava di non poter dare seguito alla richiesta, omettendo di specificare i motivi del diniego, e poi si limitava ad affermare di aver già consegnato la documentazione di cui era in possesso, mettendo a disposizione del lavoratore la cartella sanitaria. 

Nel corso dell’istruttoria successiva al reclamo emergeva che la società, in prossimità della cessazione del rapporto di lavoro con il reclamante, aveva effettivamente consegnato tutti gli attestati di formazione di cui era in possesso, e tali attestati venivano nuovamente trasmessi in seguito all’apertura dell’istruttoria; veniva, inoltre, chiarito che non era stato possibile evadere la richiesta dell’interessato in relazione ad altri tre attestati che non erano in possesso della società, perché di questi, due erano stati rilasciati esclusivamente al lavoratore, ed uno non era stato rilasciato in copia alcuna.  

Ciò nonostante, il Garante dichiarava la condotta della società non conforme all’art. 12, par. 4, con riferimento all’art. 15 del GDPR, in ragione della mancata precisa indicazione all’interessato dei motivi del rigetto dell’istanza di accesso ai dati contenutinei tre attestati non consegnati, oltre che per l’assenza dell’indicazione circa la possibilità di proporre reclamo o ricorso, ed ammoniva il titolare del trattamento sulla necessità di conformarsi alle menzionate disposizioni. 

In altra circostanza, la stessa Autorità, con provvedimento n. 104 del 25.3.2021 (doc. web n. 9583835), ha ribadito che il diritto di accesso ai propri dati personali da parte dell’interessato nell’ambito di un rapporto di lavoro non va inteso in senso restrittivo ma deve garantire, a tutela della dignità e riservatezza dello stesso interessato, la verifica dell’avvenuto inserimento, della permanenza ovvero della rimozione dei dati, a prescindere dalla circostanza che tali eventi siano già stati portati in altro modo a conoscenza del lavoratore.

Nella fattispecie, in particolare, il Garante riteneva illecita – in relazione all’art. 12, parr. 2 e 3, con riferimento all’art. 15 del GDPR – la condotta di una società cooperativa che, in qualità di datore di lavoro, non aveva dato riscontro alle richieste di accesso degli interessati ai propri dati personali contenuti nei tabulati delle timbrature.

Provvedeva così ad ammonire il titolare dei trattamenti-datore di lavoro “sulla necessità di fornire effettivo riscontro alle istanze di esercizio dei diritti nei termini e con le modalità previsti dal richiamato art. 12 del Regolamento, se del caso anche attraverso una rivalutazione delle misure già adottate dalla società”.

Avv. Adamo Brunetti