Viola la privacy il superiore che inoltra al datore di lavoro una email del dipendente contenente la comunicazione di assenza dal lavoro per malattia con l’indicazione dei relativi sintomi. Per l’approfondimento consigliamo anche il corso di formazione “AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Indice
1. I fatti: l’inoltro della mail
Una dipendente di un’azienda ospedaliera inviava un reclamo al Garante per la protezione dei dati personali, lamentando di aver inviato una email, che conteneva dati personali anche relativi alla salute, ad un proprio superiore gerarchico e che quest’ultimo aveva risposto a detta email inserendo tra i destinatari anche il Direttore Generale dell’Ospedale che così era venuto a conoscenza di detti dati personali della reclamante.
In particolare, nella email in questione la dipendente aveva chiesto al proprio superiore di essere sostituita nel proprio turno di lavoro avendo un intenso dolore cervicale e brachiale.
Il Garante chiedeva all’azienda sanitaria di fornire le proprie osservazioni al riguardo e quest’ultima affermava che la fattispecie lamentata non comportava alcuna conoscibilità da parte di terzi dei dati dell’interessata. Infatti, secondo l’Ospedale con la email in questione l’interessata aveva portato spontaneamente a conoscenza del proprio superiore i dati ivi contenuti e successivamente detta email era stata portata a conoscenza soltanto del Direttore Generale, che è qualificabile come titolare del trattamento dei dati dei dipendenti della struttura sanitaria. Invece, secondo la struttura sanitaria, la normativa in materia di privacy sanziona soltanto la comunicazione dei dati personali a soggetti diversi dal titolare del trattamento. Inoltre, il destinatario di detta comunicazione (nel caso di specie il superiore gerarchico dell’interessata) sarebbe stato obbligato a portare a conoscenza del titolare del trattamento i dati che gli erano stati riferiti, proprio in quanto la gestione di detti dati era compito dell’azienda e quindi del soggetto designato titolare del trattamento affinché potesse compiere le opportune determinazioni di sua spettanza.
In secondo luogo, secondo la struttura sanitaria, le informazioni contenute nella email in questione non configuravano dati relativi alla salute dell’interessata, in quanto non vi era alcuna notizia da cui si potesse desumere una qualsiasi patologia o una malattia a carico dell’interessata, ma solo la sommaria e fugace descrizione di un sintomo del tutto aspecifico e ambiguo.
Infine, l’ospedale sosteneva che fosse sussistente la necessità di portare immediatamente a conoscenza del Direttore sanitario la situazione di impossibilità al lavoro dell’interessata e le ragioni, affinché egli potesse vagliare la richiesta di sostituzione al lavoro e sollevare le eventuali eccezioni, ciò in quanto è responsabilità del Direttore generale prendere dette decisioni e in quanto la decisione doveva essere pressa tempestivamente in ragione del rilevante impatto sull’utenza.
Potrebbero interessarti anche:
2. La valutazione del Garante. privacy violata
Preliminarmente, il Garante ha ricordato che i soggetti pubblici possono trattare dati personali se il
trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il datore di lavoro, in ogni caso, può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (come quelli idonei a rivelare lo stato di salute), se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore. In ogni caso, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione.
Passando all’esame del caso di specie, il Garante ha ritenuto che l’inoltro da parte del superiore gerarchico del messaggio dell’interessata anche al Direttore Generale (datore di lavoro e titolare del trattamento) ha messo quest’ultimo a conoscenza delle ragioni addotte dalla reclamante per giustificare la propria indisponibilità a coprire il proprio turno lavorativo e, in particolare, dello stato di salute della stessa e dei dettagli relativi alla sintomatologia sofferta.
Infatti, nella nozione di dato personale relativo alla salute può rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi. In questo senso si è già espressa sia la giurisprudenza comunitaria (secondo cui detta nozione comprende anche le informazioni riguardanti tutti gli aspetti della salute di una persona, tanto quelli fisici quanto quelli psichici), sia la giurisprudenza nazionale (secondo cui un’assenza dal lavoro per malattia costituisce un dato personale relativo alla salute del soggetto cui si riferisce l’informazione).
Pertanto, anche l’informazione relativa ai sintomi che aveva la reclamante è un dato personale relativo al suo stato di salute, anche se non è indicata la specifica patologia da cui derivano i sintomi in questione.
Per quanto riguarda il fatto che la predetta informazione è stata comunicata dal superiore gerarchico al titolare del trattamento, il Garante ha ritenuto illecita anche la predetta comunicazione a detto soggetto.
Infatti, le linee guida dal Garante in materia di trattamento dei dati di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico stabiliscono che il datore di lavoro può lecitamente trattare il dato personale relativo all’assenza per malattia dei dipendenti, senza poter, tuttavia, venire a conoscenza della diagnosi o, più in generale, di informazioni di dettaglio sullo stato di salute degli stessi.
In altri termini, il datore di lavoro deve limitarsi a ricevere soltanto l’apposita documentazione che giustifichi l’assenza del lavoratore, che consiste in un certificato medico contenente la sola indicazione dell´inizio e della durata presunta dell´infermità (c.d. “prognosi”), mentre non è legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi.
Inoltre, nel caso in cui il lavoratore produca documentazione medica recante anche l’indicazione della diagnosi insieme a quella della prognosi, l’amministrazione deve astenersi dall’utilizzare ulteriormente tali informazioni: quindi il datore di lavoro deve astenersi dall’utilizzare e dal far circolare nell’ambiente lavorativo detta ulteriore informazione (cioè la diagnosi) che gli è stata portata a conoscenza dal lavoratore.
3. La decisione del Garante
Nel caso di specie, la reclamante aveva spontaneamente comunicato al proprio superiore gerarchico informazioni di dettaglio relative al proprio stato di salute, al fine di rappresentare la propria impossibilità a prestare l’attività lavorativa.
Pertanto, secondo il Garante, detto superiore non avrebbe potuto utilizzare ulteriormente tali informazioni, ma avrebbe dovuto invitare la lavoratrice a comunicare all’Amministrazione l’assenza per malattia secondo le specifiche procedure previste dalla legge (cioè tramite la trasmissione al datore di lavoro di documentazione attestante la sola prognosi).
Il fatto che, invece, il predetto superiore abbia inoltrato il messaggio della reclamante in forma integrale, portando a conoscenza del Direttore Generale tutte le informazioni ivi
contenute, inclusi i sintomi sofferti dall’interessata, costituisce una condotta illecita in violazione della normativa privacy.
Nonostante la violazione accertata, il garante ha comunque ritenuto – in considerazione delle circostanze attenuanti dal medesimo valutate nel caso di specie – di limitarsi ad ammonire il titolare del trattamento, senza comminare alcuna sanzione pecuniaria.
Formazione in materia per professionisti
“AI ACT e GDPR: come garantire la conformità per imprese e organizzazioni”
Il percorso formativo è rivolto ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e organizzazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT.
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento