L’informazione relativa ad una terapia farmacologica in corso rientra nella nozione di dato personale relativo alla salute.
Commento a Garante per la protezione dei dati personali: Provvedimento n. 420 del 15-12-2022.
1. I fatti
Una ex dipendente comunale presentava un reclamo al Garante per la protezione dei dati personali con cui lamentava che il Comune presso cui aveva lavorato aveva illegittimamente pubblicato sul proprio sito web istituzionale una determina in cui prendeva atto delle dimissioni della reclamante, con la richiesta di quest’ultima di rinuncia reciproca al preavviso e all’indennità di mancato preavviso. In particolare, il Comune all’interno della suddetta determina aveva indicato le iniziali del nome e del cognome della reclamante, nonché l’incarico dalla medesima svolto e il suo numero di matricola, facendo espressamente riferimento alle condizioni di salute della stessa che l’avevano indotta a rassegnare le dimissioni con rinuncia al preavviso: nello specifico, la determina riportava la frase “al fine di non aggravare il proprio stato di salute, stante la terapia farmacologica in corso”.
Il Garante provvedeva ad aprire l’istruttoria nei confronti del Comune e lo invitava a fornire la propria versione sui fatti che gli erano stati addebitati.
Il Comune si difendeva sostenendo che la reclamante si era assentata dal servizio per malattia e non era più rientrata fino al momento in cui aveva comunicato le dimissioni. Nella comunicazione delle dimissioni, la reclamante aveva motivato la propria decisione con le medesime parole utilizzate dal Comune all’interno della delibera contestata. Pertanto, il Comune stesso aveva preso atto delle dimissioni e aveva adottato la delibera in questione, pubblicandola sul proprio albo pretorio per 15 giorni come richiesto dalla normativa in materia di trasparenza, limitandosi a riportare pedissequamente le generiche motivazioni riferite dalla reclamante.
Inoltre, il Comune faceva presente di aver utilizzato soltanto le iniziali della reclamante, rendendo così inidonea la determina a rendere conoscibile ai terzi l’identità della reclamante stessa.
Per quanto riguarda la tipologia dei dati, il Comune sosteneva di non aver diffuso dati relativi alla salute, in quanto non aveva indicato quali fossero le condizioni di salute della reclamante, né quale fosse la terapia farmacologica alla quale la medesima era sottoposta.
Infine, il Comune sosteneva che l’indicazione delle motivazioni per cui la reclamante aveva rassegnato le dimissioni era necessaria per tutelare la stessa reclamante, in quanto – avendo il Comune accolto la richiesta di rinuncia al preavviso e quindi esonerando così la stessa reclamante al pagamento dell’indennità che altrimenti avrebbe dovuto pagare al Comune per la mancanza del preavviso – in mancanza di tali motivazioni la determina di accoglimento delle dimissioni sarebbe stata nulla e la reclamante non avrebbe potuto interrompere il rapporto di lavoro con il Comune.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, il Garante ha ricordato che, in base alla disciplina di protezione dei dati, i soggetti pubblici anche quando sono datori di lavoro possono trattare dati personali dei lavoratori se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. In particolare, l’operazione di diffusione di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Per quanto riguarda i dati relativi alla salute, poi, il trattamento di regola è consentito solo quando a quanto sopra si aggiunge la presenza di garanzie appropriate a tutela dei dati. Ma anche in tal caso, il titolare del trattamento è tenuto, comunque, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione dei dati.
Nel caso di specie, il Garante ha ritenuto che la pubblicazione sull’albo pretorio della delibera in questione ha determinato una diffusione di dati personali, anche relativi alla salute, della reclamante senza un idoneo presupposto giuridico legittimante ed in violazione al divieto di diffusione dei dati relativi alla salute.
Infatti, da un lato, l’uso delle iniziali del cognome e del nome della reclamante non è sufficiente a evitare la sua identificabilità, soprattutto nel caso in cui a tali iniziali si associano altre informazioni di contesto e altri elementi identificativi. Ebbene, nel caso di specie, la reclamante era comunque identificabile dai terzi, in quanto le iniziali erano associate al ruolo dalla medesima ricoperto all’interno del Comune, al suo genere (stante l’uso del femminile) e al numero di matricola. Pertanto, tenendo conto dello specifico contesto lavorativo, di limitate dimensioni, la reclamante era facilmente identificabile anche al di fuori dell’Ente comunale.
In considerazione di ciò, le informazioni contenute nella determina devono considerarsi come dati personali.
Dall’altro lato, il riferimento generico alle condizioni di salute della reclamante e allo svolgimento di una terapia farmacologica, costituisce una diffusione di dati relativi alla salute della reclamante.
Secondo il Garante, la nozione di dato personale relativo alla salute comprende anche l’informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata in maniera esplicita la diagnosi.
D’altra parte, anche gli obblighi di pubblicità gravanti sul Comune non possono giustificare una automatica diffusione dei dati della reclamante, né una deroga ai principi in materia di privacy.
3. La decisione del Garante
In conclusione il Garante ha quindi ritenuto che la condotta del Comune abbia configurato una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha applicato una sanzione amministrativa pecuniaria nei confronti dell’Ente.
Per quanto concerne la quantificazione della sanzione, il Garante ha valutato, da un lato, la particolare delicatezza dei dati personali illecitamente trattati riguardanti vicende relative al rapporto di lavoro della reclamante ed informazioni riguardanti la sua salute, nonché il fatto che la condotta del Comune fosse in contrasto con le indicazioni che, da tempo, il Garante, ha fornito su tali aspetti. Dall’altro lato, il Garante ha valutato che la condotta illecita è stata determinata dalla volontà del Comune di assecondare la richiesta di esonero dal preavviso della reclamante (e quindi per agevolare la stessa), nonché il fatto che i dati trattati riguardano un singolo caso e sono stati pubblicati per 15 giorni.
In considerazione di quanto sopra, il Garante ha determinato la sanzione pecuniaria in €. 6.000 (seimila).
>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento