Delibera contenente il riferimento alla condizione di invalidità di un dipendente

La pubblicazione sull’albo pretorio di una delibera contenente il riferimento alla condizione di invalidità di un dipendente costituisce violazione della privacy.

1. I fatti

Un dipendente di una azienda ospedaliera pubblica aveva inviato un reclamo al Garante per la protezione dei dati personali con cui lamentava che l’Azienda aveva pubblicato illegittimamente sul proprio sito web istituzionale due provvedimenti che contenevano suoi dati personali anche relativi alla salute.
In particolare, il reclamante sosteneva di essere dipendente della struttura sanitaria e di aver ottenuto il collocamento a riposo dal proprio datore di lavoro, avendo egli maturato i requisiti per il trattamento di quiescenza. Inoltre, in considerazione del fatto che la delibera con cui la struttura sanitaria aveva accolto la richiesta di collocamento a riposo del reclamante conteneva degli errori sul calcolo del periodo di anzianità, l’Azienda aveva emanato una nuova delibera di rettifica. Tuttavia, nella delibera di rettifica era stato riportato il fatto che il reclamante avesse un’invalidità ed indicato anche il relativo grado.
Il Garante, ricevuto il reclamo, effettuava degli accertamenti on line e riscontrava che le due delibere in questione erano state pubblicate dall’Azienda sul sito web ed erano altresì indicizzate sui motori di ricerca generalisti.
Pertanto, il Garante avviava il procedimento nei confronti della struttura sanitaria e la invitava a fornire i propri scritti difensivi.
L’Azienda si difendeva evidenziando che la prima delibera conteneva un errore di conteggio del periodo di servizio del reclamante che lo svantaggiava e per tale ragione era stato necessario adottare una seconda delibera di rettifica. Poiché l’Azienda voleva giustificare il proprio precedente errore nella delibera e voleva rimuovere la situazione di svantaggio per il reclamante, aveva frettolosamente pubblicato sull’Albo pretorio la seconda delibera senza avvedersi dei dati personali ivi contenuti.
In secondo luogo, la struttura sanitaria evidenziava di aver adottato un sistema che automaticamente cancella, decorso il periodo di legge (cioè 15 giorni), i documenti pubblicati sull’albo pretorio on line e che, immediatamente dopo aver appreso (dalla notifica del procedimento del Garante) che le due delibere erano ancora indicizzate nei motori di ricerca, aveva verificato che ciò era dipeso a causa di un bug presente nella piattaforma che gestisce le pubblicazioni. Per tale ragione, l’Azienda sosteneva di aver immediatamente rimosso l’indicizzazione dei due documenti e corretto il bug della piattaforma, nonché provveduto a notificare al Garante il data breach.
Per tali ragioni, secondo la struttura sanitaria,  la propria condotta non era da ritenersi dolosa ed inoltre la stessa dimostrato la propria volontà di cooperare con il Garante.
Potrebbero interessarti anche:

• Viola la privacy il Comune che inoltra un’email della dipendente al datore di lavoro
• Diritti riconosciuti nell’ecosistema privacy

2. Le valutazioni del Garante

Preliminarmente, il Garante ha ricordato che, in base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali dei dipendenti se il trattamento è necessario per gestire il rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. In particolare, l’operazione di diffusione di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Inoltre, quando si tratta di categorie particolari di dati personali, il trattamento è ammesso nella misura in cui è autorizzato dal diritto, solo in presenza di specifiche e appropriate garanzie per tutelare i diritti fondamentali e gli interessi dell’interessato. Ma anche in tal caso, il titolare del trattamento è tenuto, comunque, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione dei dati, per cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.
Nel caso di specie, il Garante ha ritenuto che la delibera di rettifica, anche se è stata adottata e pubblicata per giustificare un precedente errore ed emendare una situazione di svantaggio per l’interessato e quindi anche se è stata pubblicata nell’intento di agire nell’esclusivo interesse dell’interessato, conteneva il riferimento espresso al “verbale di riconoscimento di invalidità civile” del reclamante ed altre informazioni relative a vicende connesse al rapporto di lavoro, come la richiesta di collocamento a riposto dell’interessato.
Posto che i dati relativi alla salute sono quelli che sono idonei a rivelare informazioni sullo stato di salute di una persona, i riferimenti di cui sopra rientrano a pieno titolo in detti dati.
Il Garante ha ritenuto che la struttura sanitaria non ha dimostrato che vi fosse una specifica disposizione normativa che le consentiva di pubblicare le due delibere e il richiamo alla disciplina che obbliga gli enti pubblici alla pubblicazione delle delibere sull’albo pretorio non è sufficiente a legittimare la diffusione di tali dati.
Inoltre, la pubblicazione è stata comunque mantenuta ben oltre i 15 giorni previsti dalla normativa in materia di pubblicazione dei dati sull’albo pretorio.
In ogni caso, il Garante ha ricordato che la presenza di uno specifico regime di pubblicità non può comunque rendere legittima la diffusione online dei dati personali, né una deroga ai principi in materia di privacy. Infatti, anche in presenza di una norma di legge che obbliga il titolare del trattamento a pubblicare atti e documenti contenenti dati personali, si applicano comunque i principi previsti dalla normativa in materia di privacy, fra i quali quello di minimizzazione dei dati.

3. La decisione del Garante

In conclusione il Garante ha quindi ritenuto che la pubblicazione sul sito web istituzionale, da parte della Azienda ospedaliera, delle due delibere contenenti dati relativi alla condizione di invalidità del reclamante costituisca una violazione della normativa in materia di privacy e per tale ragione ha deciso di comminare al titolare del trattamento una sanziona amministrativa pecuniaria.
Per quanto concerne la quantificazione della suddetta sanzione, il Garante, tenuto conto che il trattamento dei dati personali ha riguardato un solo interessato e che l’Azienda Ospedaliera aveva formulato la notifica al Garante di quanto occorso adoperandosi per rimuovere i dati personali in questione dal proprio sito istituzionale, l’ha calcolata in un importo pari ad €.8.000 (ottomila). 

>>>Per approfondire<<<
Con il D.Lgs. n. 101/2018 – in vigore dal 19 settembre 2018 – è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation.
Il volume permette un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della disciplina.