La risposta è sì, il Datore di Lavoro che si rifiuta di consegnare gli attestati dei corsi di formazione ai dipendenti viola il GDPR. Il Garante della Privacy ha chiarito che tali attestati contengono dati personali del lavoratore e che il rifiuto di consegna è una violazione del diritto di accesso ai propri dati, in particolare degli articoli 12 e 15 del GDPR. La mancata consegna, anche dopo una richiesta, può portare a sanzioni.
L’attestato di formazione, previsto dall’art. 37 del D.Lgs. n. N. 81/2008, certifica un percorso individuale di apprendimento: è quindi un bene personale del lavoratore, non un documento aziendale.
Il datore di lavoro deve conservarne copia per esigenze organizzative e di vigilanza, ma non può trattenerne l’originale, né opporsi alla sua consegna.
Il Datore di Lavoro deve quindi:
• consegnare l’attestato al lavoratore al termine del corso con firma di ricevuta;
• conservare una copia nel fascicolo formativo aziendale;
• rilasciare copia conforme su richiesta, anche dopo la fine del rapporto di lavoro.
Negare la consegna o trattenere l’attestato significa violare la normativa sulla protezione dei dati personali.
Coso reale:
Con il provvedimento n. 571 dell’11 settembre 2025, il Garante per la protezione dei dati personali ha affrontato un caso relativo al diritto di accesso ai dati personali, previsto dall’articolo 15 del GDPR.
Il caso riguardava un’ex dipendente di una società del settore ristorazione che nel giugno 2024 aveva richiesto di accedere ai propri attestati di formazione e al certificato medico di idoneità. Nonostante le ripetute richieste via e-mail, l’azienda aveva risposto solo sulla riconsegna dei beni aziendali, rifiutando il rilascio dei documenti con la motivazione che fossero a carico dell’azienda. Solo dopo l’avvio del procedimento da parte del Garante, la società ha fornito la documentazione richiesta.
Durante il procedimento, l’azienda ha precisato che gli attestati di formazione erano stati conseguiti presso il precedente datore di lavoro e non erano ancora in suo possesso, mentre il certificato medico avrebbe dovuto essere consegnato direttamente dal medico competente, secondo la normativa sulla sorveglianza sanitaria. Inizialmente, quindi, la società aveva rifiutato la consegna, ma successivamente, su invito del Garante, ha trasmesso sia gli attestati ricevuti dal cedente sia la copia del certificato medico.
Il titolare del trattamento deve rispondere in modo completo e tempestivo, entro un mese. Gli attestati di formazione contengono dati personali dell’interessato, ai quali, egli stesso ha diritto di accesso.
Nel caso esaminato, la società ha risposto in modo tardivo e parziale, sette mesi dopo la richiesta, violando i principi di correttezza, trasparenza e tempestività previsti dagli articoli 5, 12 e 15 del GDPR.
Per questo motivo, il Garante ha accertato l’illiceità del trattamento e ha irrogato una sanzione amministrativa di 1.000 euro, disponendo anche la pubblicazione del provvedimento sul proprio sito e l’annotazione della violazione nel registro interno. Nel definire la sanzione, l’Autorità ha considerato la gravità media della violazione, la durata del comportamento illecito e la collaborazione successiva dell’azienda, che ha infine fornito la documentazione richiesta.
Fonte dell’articolo https: //www.federprivacy.org/