La normativa sulla sicurezza non si esprime se gli attestati devono essere consegnati ai dipendenti. Sembra quindi che il datore di lavoro non abbia alcun obbligo, nemmeno quello di restituirli ai lavoratori al termine del rapporto di lavoro.
Il Testo Unico sulla sicurezza dice, piuttosto, che tutti i corsi di formazione devono essere registrati nel libretto formativo del lavoratore: ogni persona avrà in futuro una sorta di libretto, cartaceo o più probabile digitale, nel quale ogni diverso datore di lavoro, o direttamente l’ente di formazione, annoteranno i corsi seguiti.
Ma se anche non vi è un obbligo sulla base della normativa sulla sicurezza, bisogna considerare la normativa relativa alla protezione dei dati personali, trattata dal Regolamento (EU) 2016/679, noto come GDPR, e dal decreto legislativo 196/2003, noto come Codice Privacy.
La formazione seguita da un lavoratore rientra nel suo bagaglio tecnico personale, ovvero è un titolo conseguito dal lavoratore che è di sua proprietà. Poiché gli attestati contengono dati personali del lavoratore (data e luogo di nascita, tipo di corso seguito), il dipendente ha diritto di richiederlo al proprio datore in base all’art. 15 del GDPR.
Il Garante per la Protezione dei dati personali già più volte si è espresso in merito, dichiarando che “tutte le informazioni personali custodite negli archivi dell’azienda, ivi incluse quelle inerenti ai giudizi e alle note di qualifica professionale, sono da rendere disponibili all’interessato che lo richieda”.
L’obbligo riguarda anche gli ex dipendenti: lo afferma il garante della privacy in una nota del 2000. Le aziende devono quindi conservare gli attestati anche degli ex dipendenti, per quanto tempo non è previsto esplicitamente dalla normativa, sebbene il codice civile, articolo 2220, e il DPR 445/2000 prevedono che tutti i documenti riguardanti l’attività delle imprese, compresi i rapporti di lavoro, devono essere conservati per un periodo di almeno 10 anni.
Il GDPR prevede che l’interessato possa richiedere l’accesso ai propri dati personali, cui il datore di lavoro deve rispondere entro 30 giorni. Trascorso questo termine il lavoratore può presentare un reclamo all’Autorità Garante ai sensi dell’art. 77 del GDPR.
La sanzione è prevista dall’art. 83 del GDPR ed è quantificata fino al 4% del fatturato annuo dell’esercizio precedente.