Attestati di formazione del lavoratore: ex datore di lavoro tenuto alla consegna

Pubblicato il 30 ottobre 2025

Con il provvedimento n. 571 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha esaminato un caso relativo all’esercizio del diritto di accesso ai dati personali, previsto dal Regolamento (UE) 2016/679 (GDPR).

Il caso riguardava un’ex dipendente che aveva richiesto al proprio datore di lavoro – una società operante nel settore della ristorazione – di poter accedere ai propri attestati di formazione e al certificato medico di idoneità, senza tuttavia ottenere riscontro.

Origine del reclamo e attività istruttoria

La vicenda trae origine dal reclamo presentato il 24 giugno 2024 (regolarizzato il 20 luglio 2024) da un’ex dipendente, che lamentava la mancata risposta alla richiesta di accesso ai propri dati personali, in particolare:

• agli attestati dei corsi di formazione svolti durante il rapporto di lavoro;
• alla copia del certificato medico di idoneità rilasciato dal medico competente aziendale all’esito della visita medica periodica

Nonostante le e-mail di richiesta inviate dall’interessata, la società si era limitata a rispondere in merito alla riconsegna dei beni aziendali, negando il rilascio degli attestati richiesti con la motivazione che “trattasi di documentazione afferente attività svolta a cura e spese dell'Azienda e, pertanto, la stessa non è tenuta alla sua consegna”.

Solo successivamente, la società ha provveduto a trasmettere i documenti, dopo l’avvio del procedimento istruttorio da parte del Garante.

Difese della società e quadro normativo

Nel corso del procedimento, la società datrice di lavoro ha rilevato che:

• gli attestati di formazione richiesti erano stati conseguiti con il precedente datore di lavoro, cedente del ramo d’azienda;
• al momento della richiesta dell’ex dipendente, non disponeva degli attestati di formazione, poiché tali documenti erano ancora in possesso del precedente datore di lavoro, alla quale la società aveva formalmente richiesto l’invio;
• in merito invece al certificato medico di idoneità, la richiesta era risultata “anomala” in quanto, ai sensi della normativa in materia di sorveglianza sanitaria (art. 41 del D.Lgs. 81/2008), il medico competente è tenuto a consegnare direttamente al lavoratore copia del certificato all’esito della visita, senza necessità di intermediazione da parte del datore di lavoro.

La società ha inizialmente obiettato che l’obbligo di rilascio degli attestati di formazione spettasse al datore di lavoro che aveva erogato la formazione, ossia al precedente datore. Tuttavia, a seguito dell’invito formulato dal Garante, la società ha aderito spontaneamente all’istanza di accesso, trasmettendo all’ex dipendente sia gli attestati di formazione ricevuti dal precedente datore di lavoro, sia la copia aziendale del certificato medico di idoneità relativo alla visita effettuata.

Valutazioni del Garante privacy

Il Garante per la protezione dei dati personali, con il provvedimento n. 571 dell’11 settembre 2025, ha ritenuto che la richiesta di documenti a voce e via e-mail in modo del tutto informale, pur privi di riferimenti espliciti al Regolamento, costituissero a tutti gli effetti una richiesta di accesso ai dati personali, poiché miravano a ottenere documenti contenenti informazioni personali dell’interessata.

Il Garante ha sottolineato che:

• il titolare del trattamento non può richiedere un formato specifico per le istanze di esercizio del diritto di accesso, come chiarito anche dalle EDPB Guidelines 01/2022 sul diritto di accesso e, in ogni caso, successivamente al reclamo, l’ex dipendente ha presentato una formale istanza di accesso ai dati personali ai sensi dell’articolo 15 del GDPR;
• gli attestati di formazione del lavoratore contengono dati personali riferiti allo stesso, ai quali l’interessato ha diritto di accedere ai sensi dell’art. 15 del Regolamento;
• il titolare è tenuto ad agevolare l’esercizio dei diritti dell’interessato e a fornire una risposta completa, chiara e tempestiva, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.

La società, invece, ha fornito un riscontro tardivo e parziale, avvenuto solo dopo l’intervento del Garante, oltre 7 mesi dopo la prima richiesta.

L’Autorità ha  precisato che, in base all’articolo 2112 del codice civile, in caso di trasferimento di ramo d’azienda, il rapporto di lavoro prosegue con il cessionario, il quale subentra nei diritti e negli obblighi del cedente. Pertanto, la società subentrante resta titolare del trattamento dei dati dei lavoratori e non può rinviare l’interessato a soggetti terzi.

Il Garante ha inoltre evidenziato che, ai sensi dell’articolo 12, paragrafo 2, del GDPR, il titolare è tenuto ad agevolare l’esercizio dei diritti dell’interessato e, in caso di diniego, deve informarlo della possibilità di proporre reclamo al Garante o ricorso all’autorità giudiziaria.

Infine, l’Autorità ha sottolineato che la società avrebbe dovuto fornire integralmente la documentazione richiesta, in osservanza del principio di correttezza del trattamento di cui all’articolo 5, paragrafo 1, lettera a) del Regolamento, tanto più che aveva già acquisito parte degli attestati dal precedente datore di lavoro.

Pertanto, il comportamento della società è stato ritenuto in violazione degli articoli 5, 12 e 15 del Regolamento, configurando un trattamento illecito di dati personali.

Decisione dell’Autorità e sanzioni applicate

Alla luce delle risultanze istruttorie, il Garante ha:

• accertato l’illiceità del trattamento dei dati personali;
• irrogato una sanzione amministrativa pecuniaria di euro 1.000, ai sensi dell’art. 83, par. 5, lett. a) e b) GDPR;
• disposto la pubblicazione del provvedimento sul sito istituzionale dell’Autorità, in considerazione della rilevanza del diritto di accesso ai fini della trasparenza e della consapevolezza del trattamento;
• ordinato l’annotazione della violazione nel registro interno del Garante.

Il Garante ha tenuto conto, nella determinazione della sanzione, del livello medio di gravità della violazione, della durata del comportamento illecito (circa sette mesi) e della collaborazione successiva della società, che ha inviato la documentazione richiesta durante l’istruttoria.