Con il provvedimento n. 571 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha affrontato un caso relativo al diritto di accesso ai dati personali, previsto dall’articolo 15 del GDPR.
Perché è difficile ottenere gli attestati dall’ex datore di lavoro
Analizzando il documento “ADEGUAMENTO E LINEE APPLICATIVE DEGLI ACCORDI EX ARTICOLO 34, COMMA 2, E 37, COMMA 2, DEL DECRETO LEGISLATIVO 9 APRILE 2008, N. 81, E SUCCESSIVE MODIFICAZIONI E INTEGRAZIONI” Pubblicato sulla Gazzetta Ufficiale n. 192 del 18 agosto 2012 si trovano i seguenti riferimenti:
- il paragrafo 14 prevede l’istituzione del fantomatico libretto formativo del cittadino destinato a “seguire” il lavoratore ad ogni cambio di “casacca”. Progetto mai del tutto partito perché lasciato alla volontà delle singole Regioni;
- il paragrafo 9 recita: “Si intende che per consentire ai lavoratori, preposti, dirigenti e, di conseguenza, anche ai datori di lavoro di poter usufruire dei crediti formativi, copia dell’attestato relativo alla formazione effettuata è opportuno venga rilasciata al lavoratore, al preposto o al dirigente”. È appunto la parola “opportuno” che non stabilendo un sicuro obbligo, viene utilizzata dal vecchio Datore di lavoro per non consegnare copie degli attestati;
- il paragrafo 12 chiarisce invece che i costi dell’erogazione della formazione, non sono lasciati al buon cuore del datore di lavoro, ma: “La formazione dei lavoratori e quella dei loro rappresentanti deve avvenire, in collaborazione con gli organismi paritetici, ove presenti nel settore e nel territorio in cui si svolge l’attività del datore di lavoro, durante l’orario di lavoro e non può comportare oneri economici a carico dei lavoratori”.
Il caso riguardava un’ex dipendente di una società del settore ristorazione che, nel giugno 2024, aveva richiesto di accedere ai propri attestati di formazione e al certificato medico di idoneità. Nonostante le ripetute richieste via e-mail, l’azienda aveva risposto solo sulla riconsegna dei beni aziendali, rifiutando il rilascio dei documenti con la motivazione che fossero a carico dell’azienda. Solo dopo l’avvio del procedimento da parte del Garante, la società ha fornito la documentazione richiesta.
Durante il procedimento, l’azienda ha precisato che gli attestati di formazione erano stati conseguiti presso il precedente datore di lavoro e non erano ancora in suo possesso, mentre il certificato medico avrebbe dovuto essere consegnato direttamente dal medico competente, secondo la normativa sulla sorveglianza sanitaria. Inizialmente, quindi, la società aveva rifiutato la consegna, ma successivamente, su invito del Garante, ha trasmesso sia gli attestati ricevuti dal cedente sia la copia del certificato medico.
Il Garante ha chiarito che anche le richieste informali, prive di riferimenti espliciti al GDPR, costituiscono istanze di accesso ai dati personali. Il titolare del trattamento non può imporre un formato specifico per tali richieste e deve rispondere in modo completo e tempestivo, entro un mese. Gli attestati di formazione contengono dati personali dell’interessata, ai quali ha diritto di accesso.
Inoltre, secondo l’art. 2112 del codice civile, in caso di trasferimento di ramo d’azienda, il cessionario subentra nei diritti e negli obblighi del cedente, rimanendo titolare del trattamento dei dati. L’azienda non poteva quindi rinviare l’ex dipendente al precedente datore. Il Garante ha sottolineato che, in caso di diniego, il titolare deve informare l’interessato della possibilità di presentare reclamo o ricorso all’autorità giudiziaria.
Nel caso esaminato, la società ha risposto in modo tardivo e parziale, sette mesi dopo la richiesta, violando i principi di correttezza, trasparenza e tempestività previsti dagli articoli 5, 12 e 15 del GDPR.
Per questo motivo, il Garante ha accertato l’illiceità del trattamento e ha irrogato una sanzione amministrativa di 1.000 euro, disponendo anche la pubblicazione del provvedimento sul proprio sito e l’annotazione della violazione nel registro interno. Nel definire la sanzione, l’Autorità ha considerato la gravità media della violazione, la durata del comportamento illecito e la collaborazione successiva dell’azienda, che ha infine fornito la documentazione richiesta.
Il provvedimento conferma l’importanza del diritto di accesso per la tutela della trasparenza e della consapevolezza dei lavoratori sui propri dati personali, ribadendo l’obbligo per le aziende di agevolarne l’esercizio senza indugi, anche nei casi di successione aziendale.
Per tirare le somme, è sufficiente che i lavoratori inviino una mail al loro precedente datore di lavoro, richiedendo in maniera formale di esercitare il diritto di accesso ai dati attraverso l’apposita modulistica reperibile al sito del Garante ed intimando di ricevere un riscontro nei tempi stabiliti dal GDPR, magari ricordando che l’art. 83 prevede che la violazione delle norme relative ai diritti degli interessati (tra cui l’art. 15) è punita con sanzioni amministrative pecuniarie.