Garantito il diritto di accesso del lavoratore anche nel caso di cessione di ramo d’azienda

Con il provvedimento dell’11 settembre 2025, n. 571, il Garante per la protezione dei dati personali ha affrontato un caso apparentemente circoscritto – la mancata consegna di attestati di formazione e di un certificato di idoneità sanitaria a una ex dipendente – traendone, tuttavia, indicazioni di portata generale sul diritto di accesso ai dati personali nel contesto giuslavoristico.

L’Autorità ha ribadito e rafforzato tre principi centrali:

• la necessità di qualificare in maniera sostanziale le richieste dell’interessato, anche se formulate in modo informale;
• la natura di dati personali degli attestati di formazione del lavoratore;
• la continuità del diritto di accesso anche nei casi di trasferimento di ramo d’azienda.

Fatti e inquadramento normativo

Una ex dipendente aveva chiesto al datore di lavoro, mediante due e-mail, la consegna degli attestati dei corsi di formazione effettuati e copia della certificazione dell’ultima visita medica rilasciata dal medico competente.

La società non aveva fornito riscontro in relazione a tali richieste, limitandosi a sostenere che la documentazione non dovesse essere consegnata in quanto afferente ad attività svolta a cura e spese dell’azienda.

Successivamente l’interessata aveva presentato una formale istanza di accesso ai dati personali ai sensi dell’art. 15 GDPR. Anche a fronte di tale richiesta, la società aveva invitato l’interessata a rivolgersi ai precedenti datori di lavoro per ottenere gli attestati di formazione.

Solo nel corso dell’istruttoria avviata dal Garante privacy, la società ha inviato alla reclamante copia degli attestati ricevuti dal precedente datore di lavoro e copia del certificato di idoneità.

Secondo l’Autorità, la società:

• non ha fornito i dati richiesti nei termini;
• non ha motivato adeguatamente il diniego;
• non ha informato l’interessata della possibilità di proporre reclamo al Garante o ricorso giurisdizionale.

Tali condotte integrano una violazione autonoma dell’art. 12 GDPR, oltre che dell’art. 15 GDPR. La mancata consegna dei documenti, a fronte di richieste reiterate, è stata ritenuta anche contraria al principio di correttezza del trattamento di cui all’art. 5, par. 1, lett. a) GDPR, principio che assume particolare rilievo nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra le parti. L’Autorità ha pertanto dichiarato illecito il trattamento effettuato dalla società irrogando una sanzione pari a euro 1.000.

Le richieste “informali” come esercizio del diritto di accesso

Nel caso esaminato, la lavoratrice aveva inviato alla società due e-mail che non contenevano alcun riferimento espresso al GDPR né all’esigenza di accedere ai propri dati personali. Un passaggio centrale del provvedimento riguarda dunque la qualificazione di tali e-mail come richieste di accesso ai dati personali ai sensi dell’art. 15 GDPR.

La società ha sostenuto che tali richieste non potessero qualificarsi come istanze di accesso ai dati personali. Il Garante privacy ha invece affermato che, sebbene le e-mail non facessero espresso riferimento alla disciplina in materia di protezione dei dati personali, emerge con chiarezza che l’oggetto della richiesta fosse inequivocabilmente riferito all’ottenimento di documenti contenenti dati personali dell’interessata.

L’Autorità, a tal proposito, ha richiamato le Guidelines 01/2022 on data subject rights – Right of access dell’EDPB, secondo cui il titolare non può richiedere un formato specifico per le istanze di esercizio del diritto di accesso.

Ne deriva un principio operativo di particolare rilievo: il titolare deve valutare il contenuto sostanziale della richiesta e non la sua forma. In altri termini, ogni domanda con cui l’interessato chiede documenti o informazioni che lo riguardano deve essere trattata come possibile esercizio del diritto di accesso e gestita secondo gli artt. 12 e 15 GDPR.

Gli attestati di formazione come dati personali del lavoratore

Il provvedimento ribadisce espressamente che gli attestati di formazione del lavoratore contengono dati personali riferiti allo stesso. Tali documenti attestano, infatti, che una determinata persona ha seguito e completato specifici percorsi formativi e, pertanto, veicolano informazioni riconducibili all’identità professionale dell’interessato.

Il Garante privacy, richiamando anche un proprio precedente del 24 aprile 2024 (n. 246), afferma che tali dati rientrano nell’ambito di applicazione dell’art. 15 GDPR.

Conseguentemente, l’interessato ha diritto di ottenere dal titolare del trattamento una copia degli attestati, indipendentemente dal fatto che la formazione sia stata erogata “a cura e spese dell’azienda”. Il provvedimento chiarisce, quindi, che considerazioni di natura organizzativa, contrattuale o economica non possono comprimere un diritto riconosciuto dal GDPR.

Per i titolari del trattamento, ciò implica che gli attestati di formazione presenti o comunque trattati nell’ambito del rapporto di lavoro devono essere inclusi nel perimetro dei dati accessibili ex art. 15 GDPR.

Trasferimento di ramo d’azienda e titolarità del trattamento

Un passaggio particolarmente significativo del provvedimento riguarda la circostanza che la formazione della lavoratrice sia stata svolta prima di un trasferimento di ramo d’azienda. La società, a tal riguardo, aveva sostenuto che l’obbligo di rilascio degli attestati gravasse sui precedenti datori di lavoro, ossia sui soggetti che avevano erogato la formazione.

Il Garante privacy ha ritenuto tale impostazione non conforme alla disciplina applicabile: da un lato l’art. 12, par. 2, GDPR impone al titolare di “agevolare l’esercizio dei diritti dell’interessato”, rafforzando così l’obbligo di cooperazione in situazioni complesse come, per esempio, quelle derivanti da operazioni societarie; dall’altro lato,  l’art. 2112 del Codice civile prevede che, in caso di trasferimento d’azienda, il rapporto di lavoro continua con il cessionario e il lavoratore conserva tutti i diritti che ne derivano.

Ne consegue che:

• il lavoratore deve poter esercitare il diritto di accesso nei confronti del datore di lavoro che, al momento della richiesta, riveste la qualifica di titolare del trattamento;
• le difficoltà organizzative o operative nella trasmissione della documentazione tra cedente e cessionario non possono comportare l’azzeramento del diritto dell’interessato;
• il titolare è tenuto ad attivarsi per reperire i dati e fornirli all’interessato, senza rinviarlo a soggetti che non rivestono più la qualifica di titolare del trattamento

Ricadute operative

Il provvedimento rafforza un approccio sostanziale e orientato all’effettività del diritto di accesso, imponendo ai datori di lavoro un ruolo attivo e collaborativo: la gestione delle richieste dei lavoratori non può essere improntata a formalismi né a logiche di mero scarico di responsabilità tra soggetti coinvolti in operazioni societarie.

L’adempimento corretto e tempestivo degli obblighi ex artt. 12 e 15 GDPR rappresenta, alla luce di questo provvedimento, non solo un dovere giuridico ma anche un presidio essenziale di compliance organizzativa.

Dai principi affermati emergono indicazioni pratiche chiare:

1. Valutare sempre il contenuto sostanziale delle richieste dell’interessato, anche se formulate in modo informale.
2. Riscontrare entro un mese ogni istanza di accesso, fornendo i dati o motivando il diniego.
3. Non rinviare l’interessato ad altri soggetti quando si riveste la qualifica di titolare del trattamento al momento della richiesta.
4. Documentare i riscontri forniti e conservare evidenza delle comunicazioni.