Il diritto di accesso, previsto e disciplinato dall’art. 15 del GDPR, rappresenta una delle principali estrinsecazioni del principio di trasparenza con riferimento ai trattamenti che il Titolare pone in essere con riguardo ai dati degli interessati, compresi, pertanto, quelli dei propri dipendenti.
Il diritto di accesso sancito dal GDPR, già previsto dalla normativa precedente all’art. 7 del nostro Codice Privacy, è rafforzato rispetto alla suddetta norma perché oggi il Regolamento consente all’interessato – in qualsiasi momento – di ottenere dal Titolare del trattamento:
- la conferma o meno dell’esistenza di un trattamento di dati personali che lo riguardano;
- in caso positivo, il diritto di ottenere l’accesso ai dati e alle informazioni previste dall’art. 15 (tra cui, le principali sono: finalità del trattamento, categorie di dati, tipologia dei destinatari, periodo di conservazione, diritto di limitazione, di rettifica, di cancellazione, di opposizione, di proporre reclamo);
- il diritto di avere copia dei propri dati, gratuitamente, purché ciò non leda “i diritti e le libertà altrui”.
Come sappiamo, il soggetto destinatario della domanda di accesso – quindi, in caso di richiesta del dipendente, il datore di lavoro – è obbligato a rispondere alla richiesta dell’interessato entro un mese con la possibilità di proroga, nel caso di particolare complessità delle richieste, di altri due mesi, specificando i motivi del ritardo.
Nell’ambito dei rapporti di lavoro, il diritto di accesso da parte del dipendente ai dati conservati dal datore di lavoro costituisce, soprattutto in caso di contenzioso giudiziario, uno strumento molto incisivo per ottenere copia di tutti quei documenti che possono servire al lavoratore per difendere i propri diritti in giudizio.
L’unico limite all’accesso a tali dati è, infatti, costituito dal principio espresso dal comma 4 dell’art. 15 GDPR in tema di diritto di copia, ovvero che l’accesso a tali dati non costituisca lesione dei diritti e delle libertà altrui.
Cosa, pertanto, è accessibile al lavoratore/interessato e cosa il datore di lavoro/Titolare del trattamento può legittimamente rifiutare di consegnare?
La prassi e le pronunce del nostro Garante sotto la vigenza del vecchio Codice Privacy consentono di concludere che:
- possono rappresentare oggetto dell’accesso non solo documenti o informazioni testuali, ma anche documentazione fotografica, riprese video e registrazioni audio (così, per esempio, la pronuncia del nostro Garante Privacy nel provvedimento del 2.10.2008 – doc. web 1557445).
- il diritto di accesso riguarda qualunque informazione relativa all’interessato riportata in supporti di ogni tipo (cartaceo, digitale, automatizzato) e conservata o meno in archivi. E’ stato, ad esempio, riconosciuto al dipendente non solo l’accesso ai dati di tipo amministrativo riferiti alla propria carriera, ma anche ad eventuali altri tipi di dati personali a lui riferiti conservati nei sistemi informatici del datore di lavoro e relativi alle mansioni dallo stesso esercitate, compresi i messaggi di posta elettronica (così, per esempio, il provvedimento del nostro Garante Privacy del 8.5.2002, doc. web 1064871);
- il diritto di avere copia dei dati, deve essere sempre riconosciuto, con la limitazione sopra detta in relazione ai diritti e libertà di terzi.
Pertanto, le uniche informazioni di natura personale che il datore di lavoro può legittimamente rifiutarsi di consegnare sono quelle contenute in documenti in cui vi siano riferimenti ad altre persone fisiche: in questo caso, il diritto di ottenere una copia sarà limitato alla sola parte che contiene i dati del richiedente.
Occorre, poi, tenere conto che l’art. 15 del GDPR non fa riferimento esclusivo alle persone fisiche e, pertanto, si dovrà far rientrare in questa casistica anche le copie di dati che consentirebbero al dipendente l’accesso a informazioni suscettibili di ledere eventuali diritti di privativa industriale e/o di proprietà intellettuale.
In questi casi, il Titolare sarà tenuto ad adottare tutte le misure idonee ad assicurare che il contenuto della copia sia limitato ai soli dati del richiedente, escludendo l’accesso a dati di terzi.
Il lavoratore avrà diritto di ottenere una copia gratuita dei dati oggetto del trattamento, ma il Titolare potrà addebitare un contributo spese, basato su costi amministrativi necessari all’adempimento della richiesta, in caso di richieste massive.
La scelta di addebitare all’interessato i costi di copia ha l’ovvia finalità di consentire al Titolare di potersi difendere da possibili abusi del diritto di accesso da parte del dipendente.
Non è facile, tuttavia, individuare a priori quando le richieste del lavoratore, da legittime, possano assumere caratteristiche tali da divenire pretestuose e trascendano, infine, nell’abuso del diritto.
Possiamo, però, ipotizzare – a mio avviso – che il datore di lavoro possa chiedere il riconoscimento del contributo spese al lavoratore a) in caso di reiterate richieste di copie di documenti con il manifesto scopo di impegnare in modo ingiustificato tempo e risorse del medesimo, sia per paralizzarne le normale attività amministrativa sia per non consentirgli di rispettare i termini di risposta previsti dal GDPR (così, poi, esponendolo a reclami e sanzioni per tale violazione); b) quando le richieste del lavoratore richiedano l’elaborazione di massive quantità di documenti da analizzare preventivamente (si pensi alle email, che devono essere verificate una ad una per tutelare i diritti dei terzi – mittenti e destinatari – delle comunicazioni del lavoratore); c) quando il periodo di tempo oggetto di accesso è così rilevante da implicare un’impegnativa attività di ricerca di documenti già archiviati, magari su molteplici banche dati e con formati diversi (come può accadere se il Titolare deve fornire copia dei dati all’interessato su supporto digitale, ma procedendo prima alla loro trasformazione da formati cartacei o da formati di difficile visualizzazione).