Privacy: la diffusione dei dati relativi alla salute del dipendente

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Consorzio di Bonifica dell’Oristanese – 16 settembre 2021 (link al provvedimento)

Fatti

Nel caso in esame, il Garante ha adottato un’ordinanza ingiunzione nei confronti del Consorzio di bonifica dell’oristanese a fronte di un reclamo in cui l’istante ha riportato che sul sito web del Consorzio era stato pubblicato un provvedimento disciplinare nei confronti di una sua dipendente, contenente informazioni relative allo stato di salute della stessa. Inoltre, la reclamante rilevava che il provvedimento stesso era reperibile, non solo sul sito web, ma anche direttamente dal motore di ricerca Google.

La reclamante aveva presentato richiesta al Consorzio affinché lo stesso provvedesse alla rimozione del documento, il quale, provvedeva tempestivamente a porre rimedio alla situazione creatasi a danno della reclamante rimuovendo la delibera dal proprio sito web.

Le memorie difensive del consorzio

A fronte del reclamo pervenuto, il Garante ha avviato un’attività istruttoria per accertare la presunta violazione degli artt. 5, par 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b) del GDPR, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice Privacy ed ha intimato al Consorzio di fare pervenire i propri scritti difensivi in merito. All’interno delle memorie presentate dal Consorzio, quest’ultimo:

(i) in primo luogo, ha sostenuto di essere totalmente consapevole della disciplina in materia di privacy, la quale prevede un termine di 15 giorni, oltre il quale è obbligatorio intervenire per procedere alla rimozione dei documenti contenenti dati ed informazioni personali; tuttavia, l’ufficio addetto a tali attività non aveva provveduto alla rimozione a causa di una mera dimenticanza.

(ii) In secondo luogo, ha rilevato che, a fronte della richiesta della parte istante, l’Ufficio addetto aveva prontamente provveduto a rimuovere il provvedimento dal sito web.

(iii) Infine, ha precisato che, con riferimento ai dati personali idonei a rivelare informazioni sullo stato di salute, i riferimenti ivi contenuti erano del tutto generici, ossia tali da non rivelare dettagli, neppure indirettamente, sulle condizioni psico-fisiche dell’interessata. In particolare, il Consorzio ha sostenuto che si trattava di riferimenti finalizzati a motivare l’adozione del provvedimento stesso in relazione ai comportamenti della reclamante avuti sul luogo di lavoro (in particolare, che la stessa non si recava sul luogo di lavoro per motivi di salute e per motivi di famiglia).

Le valutazioni del Garante

Innanzitutto, il Garante ha correttamente specificato che, come nel caso di specie, i dati personali dei lavoratori possono essere trattati da parte dei titolari solo nel caso in cui gli stessi siano necessari per adempiere obblighi o compiti previsti dalla disciplina di settore ovvero se necessari per la gestione del rapporto di lavoro, come previsto dagli artt. 6, par. 1, lett. c) ed e); 9, par. 2, lett. b) e par. 4; 88 del GDPR. Inoltre, l’art. 2-ter del Codice privacy dispone che l’operazione di diffusione (nel caso di nostra attenzione, la diffusione si è realizzata attraverso la pubblicazione online) da parte di soggetti pubblici è ammessa solo se prevista da specifica norma di legge o regolamento.

A ciò, viene aggiunto dall’Ufficio che i dati personali riguardanti lo stato di salute dell’interessato non possono essere in alcun modo diffusi: ciò in ragione della delicatezza delle informazioni a riguardo.

Il Garante ha inoltre ribadito che l’attività di trattamento deve sempre essere svolta in conformità alle previsioni dell’art. 5 del GDPR: ossia in conformità ai principi di liceità, trasparenza e correttezza e in conformità al principio di minimizzazione dei dati, in base al quale il trattamento dei dati deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Le violazioni

A fronte delle memorie difensive del Consorzio nelle quali lo stesso aveva riportato che i dati personali contenuti nel provvedimento sulla salute dell’interessata erano generici, il Garante ha contestato che, alla luce della disciplina, nella nozione di dato personale relativo alla salute vi rientra anche il mero riferimento a qualsiasi informazione da cui si possa desumere, anche indirettamente, l’esistenza di malattie o di patologie dei soggetti interessati.

Alla luce di ciò, il solo riferimento a “problemi di salute e di famiglia” sarebbe stato idoneo a determinare una violazione della disciplina in materia di trattamento e diffusione dei dati personali.

Il Garante ha quindi ritenuto che l’attività del Consorzio descritta in precedenza ha determinato una diffusione illecita dei dati personali relativi alla salute della dipendente, cui era diretto il provvedimento disciplinare, sostanziando una violazione degli artt. 5, 6 e 9 del GDPR e 2-ter e 2-septies del Codice privacy,.

In particolare, detta pubblicazione sul sito web aziendale del provvedimento disciplinare contenente il riferimento ai “problemi di salute e di famiglia” della dipendente ha violato:

(i) l’art. 5 GDPR, il quale dispone che il trattamento dei dati deve essere attuato in conformità ai principi indicati nell’articolo medesimo, tra cui il principio di trasparenza, di minimizzazione, di liceità e correttezza dei dati;

(ii) l’art. 6 GDPR, il quale dispone che affinché un trattamento possa essere lecito, deve essere fondato sul consenso dell’interessato o su altra base giuridica idonea a legittimare tale attività;

(iii) l’Art. 9 GDPR, il quale vieta il trattamento di categorie particolari di dati personali quali, appunto, i dati relativi allo stato di salute, salvo che il trattamento e la diffusione di questi non rientrino in uno dei casi eccezionali previsti dal secondo paragrafo.

Alla luce dell’attività istruttoria, degli elementi che ne sono emersi e degli accertamenti effettuati, il Garante ha quindi ritenuto che il Consorzio, non solo non ha provato l’esistenza di alcuna previsione normativa che legittimasse la diffusione dei dati relativi alla salute dell’interessata, ma ha anche ritenuto che la pubblicazione online del provvedimento si è protratta oltre il termine di 15 giorni previsto dalla normativa di settore, alla scadenza del quale il documento contenente i dati personali avrebbe dovuto essere rimosso.

Le sanzioni irrogate

In considerazione di quanto sopra, il Garante ha irrogato la sanzione amministrativa pecuniaria (oltre alla sanzione accessoria di pubblicazione del provvedimento sul sito web) di euro 5.000 nei confronti del Consorzio, poiché ha accertato la violazione della normativa in materia di trattamento dei dati personali come sopra descritta.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it