Garante: multata una banca per violazione del diritto di accesso ai dati personali
Con il provvedimento del 7 marzo 2024 (n. 137 nel Registro dei provvedimenti), il Garante per la protezione dei dati personali ha comminato una sanzione di 20000,00 euro ad un istituto di credito per non aver rispettato il diritto di accesso ai dati personali promosso da una sua ex dipendente.
Il caso
L’istruttoria è stata avviata a seguito del reclamo azionato dalla signora nei confronti del Garante, la quale rappresentava di aver formulato un’istanza di esercizio dei diritti alla banca, ai sensi dell’art. 15 del Regolamento, alla quale l’istituto di credito non aveva fornito un riscontro idoneo.
Attraverso l’istanza, la signora manifestava il suo interesse ad ottenere “l’accesso ai dati personali contenuti nel proprio fascicolo personale, una copia degli stessi e segnatamente ai dati racchiusi nel fascicolo del procedimento disciplinare (…) per conoscere, in maniera precisa e puntuale, tutte le informazioni che la riguardano (dati valutativi e non) aventi ad oggetto i fatti e i comportamenti (…) confluiti nella sanzione disciplinare irrogata dalla Banca”. L’istituto di credito, datore di lavoro, aveva però fornito unicamente una “comunicazione ed elencazione, peraltro non completa, della sola corrispondenza intercorsa tra le parti relativa al suindicato procedimento disciplinare” mancando delle ulteriori informazioni in base alle quali le era stata irrogata una sanzione disciplinare.
Solo dopo l’avvio dell’istruttoria da parte dell’Autorità, l’istituto di credito aveva trasmesso all’ex dipendente l’ulteriore documentazione contenuta nel fascicolo, consistente nella corrispondenza intrattenuta dalla banca con una terza persona, la quale si lamentava dell’illecita comunicazione di informazioni riservate del marito correntista alla dipendente istante, che le aveva poi utilizzate nel contesto di un procedimento giudiziario.
La banca, rispondendo al Garante durante il corso della procedura amministrativa, motivava la mancata comunicazione della documentazione alla dipendente sul dovere di proteggere il diritto di difesa e di riservatezza dei terzi coinvolti, nonché sull’assenza di interesse all’accesso da parte della reclamante, motivi che l’istituto di credito non aveva fornito alla signora in sede di risposta all’istanza di accesso, limitandosi a sostenere, in tale occasione, che il contratto di lavoro era cessato e che la sanzione disciplinare emessa non era stata impugnata nei termini.
Il diritto di accesso ai dati personali secondo la norma
Il Garante, nel suo provvedimento sanzionatorio, ha però evidenziato che la finalità del diritto di accesso ai dati è quella di permettere all’interessato di mantenere il pieno controllo sulle informazioni personali che lo riguardano e di verificarne l’esattezza e che la condotta della Banca non è risultata conforme alla disposizione dell’art. 12, par. 4, del Regolamento, non avendo provveduto a rendere noti i motivi della mancata consegna della documentazione ulteriore, pur essendo essa oggetto di specifica richiesta.
Il diritto di accesso ai dati personali, come del resto precisato anche dalle Linee guida sul diritto di accesso emanate dal Comitato europeo per la protezione dei dati (EDPB) e come risulta dal costante orientamento giurisprudenziale della Corte di Giustizia (si veda, la più recente sentenza sul tema C307/22), non può essere negato o limitato a seconda della finalità della richiesta, scrive il Garante.
Il Regolamento n. 679/2016, infatti, sul punto è abbastanza chiaro: nessuna disposizione chiede agli interessati di specificare un motivo o indicare una particolare necessità nelle proprie richieste di esercizio dei diritti, mentre il titolare del trattamento non può, dal canto suo, controllare i motivi di tale richiesta.
Posto, quindi, che la richiesta della signora interessata ad accedere a tutti i dati e alle informazioni facenti parte del suo fascicolo personale e sottese al procedimento disciplinare a lei riferito era lecita, la sua trattazione non poteva essere subordinata al verificarsi di determinate condizioni o al perseguimento di particolari obiettivi, tra l’altro non previsti dal legislatore.
Cosa dice la giurisprudenza
Sul tema è intervenuta anche la giurisprudenza di merito, la quale, in diverse occasioni, ha ribadito che il diritto di accesso ai dati personali deriva, oltre che dalla normativa in materia di protezione dei dati personali, anche dal “rispetto dei canoni di buona fede e correttezza che incombe sulle parti del rapporto di lavoro ai sensi degli artt. 1175 e 1375 c.c., come del resto è confermato dal fatto che, da tempo, la contrattazione collettiva del settore in oggetto prevede che l'azienda datrice di lavoro debba conservare, in un apposito fascicolo personale, tutti gli atti e i documenti, prodotti dall'ente o dallo stesso dipendente, che attengono al percorso professionale, all'attività svolta ed ai fatti più significativi che lo riguardano e che il dipendente ha diritto di prendere visione liberamente degli atti e documenti inseriti nel proprio fascicolo personale” (Corte di Cass. 7 aprile 2016, n. 6775).
In linea con la giurisprudenza anche l’Autorità, nei propri provvedimenti, ha spesso fornito indicazioni ai titolari del trattamento, invitandoli a dare riscontro alle istanze provenienti dagli interessati in relazione alle richieste connesse al rapporto di lavoro e, quindi, relative a dati e informazioni contenute nel fascicolo personale, anche quando si tratta di informazioni legate a procedimenti disciplinari (da ultimo si veda il provvedimento n. 290 del 06/07/2023, doc. web n. 9927300).
In quale "formato" vanno forniti i dati
Per quanto concerne il formato con cui i dati devono essere messi a disposizione dell’istante e, cioè, se sia sufficiente fornire i dati e non anche i documenti in cui gli stessi sono presenti, il Garante osserva che, ai sensi dell’art. 12, del Regolamento “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Spetta, quindi, al titolare del trattamento, nell’ambito del principio di accountability, il compito di individuare la forma più completa ed esauriente con cui rispondere alle istanze di accesso, nel rispetto della previsione di cui all’articolo 12 del Regolamento.
Su tale aspetto è intervenuto anche lo EBDP nelle Linee Guida sul diritto di accesso nelle quali si precisa che “L'obbligo di fornire una copia non va inteso come un diritto supplementare dell'interessato, ma come modalità di accesso ai dati” e che, dunque, “non mira ad ampliare la portata del diritto di accesso: si riferisce (solo) a una copia dei dati personali oggetto di trattamento, non necessariamente a una riproduzione dei documenti originali” (si veda sezione 2, punto 23, delle Linee Guida).
Per cui, “fare una sorta di compilazione e/o estrazione dei dati in modo da rendere le informazioni facili da comprendere potrebbe, in alcuni casi, essere un modo per soddisfare questi requisiti. In altri casi le informazioni sono meglio comprese fornendo una copia dell'effettivo documento contenente i dati personali. Pertanto, la forma più adatta deve essere decisa caso per caso” (v. punto 153 delle Linee Guida).
Nel caso di specie, la banca avrebbe dovuto consegnare alla ex dipendente la documentazione contenente i suoi dati personali connessa al procedimento disciplinare, in quanto tale consegna costituiva l’unica modalità idonea a permettere l’accesso ai dati personali, nel rispetto dei suesposti principi di correttezza e trasparenza.