Con il provvedimento n. 571 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha affrontato un caso relativo al diritto di accesso ai dati personali, previsto dall’articolo 15 del GDPR.
Il caso riguardava un’ex dipendente di una società del settore ristorazione che nel giugno 2024 aveva richiesto di accedere ai propri attestati di formazione e al certificato medico di idoneità. Nonostante le ripetute richieste via e-mail, l’azienda aveva risposto solo sulla riconsegna dei beni aziendali, rifiutando il rilascio dei documenti con la motivazione che fossero a carico dell’azienda. Solo dopo l’avvio del procedimento da parte del Garante, la società ha fornito la documentazione richiesta.
Durante il procedimento, l’azienda ha precisato che gli attestati di formazione erano stati conseguiti presso il precedente datore di lavoro e non erano ancora in suo possesso, mentre il certificato medico avrebbe dovuto essere consegnato direttamente dal medico competente, secondo la normativa sulla sorveglianza sanitaria. Inizialmente, quindi, la società aveva rifiutato la consegna, ma successivamente, su invito del Garante, ha trasmesso sia gli attestati ricevuti dal cedente sia la copia del certificato medico.
Il Garante ha chiarito che anche le richieste informali, prive di riferimenti espliciti al GDPR, costituiscono istanze di accesso ai dati personali. Il titolare del trattamento non può imporre un formato specifico per tali richieste e deve rispondere in modo completo e tempestivo, entro un mese. Gli attestati di formazione contengono dati personali dell’interessata, ai quali ha diritto di accesso.
Inoltre, secondo l’art. 2112 del codice civile, in caso di trasferimento di ramo d’azienda, il cessionario subentra nei diritti e negli obblighi del cedente, rimanendo titolare del trattamento dei dati. L’azienda non poteva quindi rinviare l’ex dipendente al precedente datore. Il Garante ha sottolineato che, in caso di diniego, il titolare deve informare l’interessato della possibilità di presentare reclamo o ricorso all’autorità giudiziaria.
Nel caso esaminato, la società ha risposto in modo tardivo e parziale, sette mesi dopo la richiesta, violando i principi di correttezza, trasparenza e tempestività previsti dagli articoli 5, 12 e 15 del GDPR.
Per questo motivo, il Garante ha accertato l’illiceità del trattamento e ha irrogato una sanzione amministrativa di 1.000 euro, disponendo anche la pubblicazione del provvedimento sul proprio sito e l’annotazione della violazione nel registro interno. Nel definire la sanzione, l’Autorità ha considerato la gravità media della violazione, la durata del comportamento illecito e la collaborazione successiva dell’azienda, che ha infine fornito la documentazione richiesta.
Il provvedimento conferma l’importanza del diritto di accesso per la tutela della trasparenza e della consapevolezza dei lavoratori sui propri dati personali, ribadendo l’obbligo per le aziende di agevolarne l’esercizio senza indugi, anche nei casi di successione aziendale.
News ripresa da FEDERPRIVACY
Per saperne di più: