Garante Privacy: il dipendente può accedere alla relazione investigativa
Il lavoratore ha il diritto di accedere ai propri dati personali, ivi inclusi quelli contenuti nella relazione dell’agenzia investigativa incaricata dalla società, sua datrice di lavoro, di raccogliere informazioni sul proprio conto. A chiarirlo è il Garante per la protezione dei dati personali con il provvedimento del 6 luglio 2023.
Nel caso di specie, il Garante è intervenuto a seguito del reclamo proposto da un dipendente che non riusciva ad ottenere riscontro alla richiesta di accesso ai propri dati personali. Richiesta questa, avanzata dopo aver ricevuto una lettera di contestazione disciplinare che recava puntuali riferimenti ad attività extra lavorative, cui era seguito il suo licenziamento.
Alle diverse istanze del lavoratore, la società aveva risposto che si trattava di richieste “troppo generiche”, occorrendo indicare nel “dettaglio” le informazioni a cui chiedeva di accedere.
Inoltre il lavoratore era venuto a conoscenza dell’esistenza e del contenuto della relazione investigativa da cui erano stati tratti i riferimenti specifici inseriti nella lettera di contestazione solo in occasione della costituzione dell’azienda nel giudizio avviato per l’impugnazione del licenziamento e a distanza di quasi un anno dalla prima richiesta.
Il Garante, nel suo provvedimento, ha osservato che la società aveva l’obbligo di fornire al lavoratore tutti i dati raccolti con la relazione investigativa, ivi inclusi quelli non riportati nella lettera di contestazione (fotografie, rilevazione GPS, descrizione di luoghi, persone e situazioni), conformemente a quanto disposto dagli artt. 12 e 15 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali. Informazioni queste che avrebbero potuto anche essere utili per l’esercizio di difesa.
Peraltro, la società non aveva mai fatto cenno, nei riscontri dati al lavoratore, alla relazione investigativa né aveva motivato il diniego di accesso ai dati ivi contenuti, violando così anche il principio di correttezza.
Nel comminare alla società la sanzione amministrativa di Euro 10.000 e considerare illecito il trattamento dalla stessa effettuato, il Garante ha ricordato che il titolare del trattamento è tenuto a fornire all’interessato l’accesso ai dati personali in forma completa e aggiornata, indicando anche la loro origine qualora non siano raccolti direttamente presso lo stesso.