Privacy: la diffusione dei dati relativi alla salute del dipendente

Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Consorzio di Bonifica dell’Oristanese – 16 settembre 2021 (link al provvedimento)

Fatti

Nel caso in esame, il Garante ha adottato un’ordinanza ingiunzione nei confronti del Consorzio di bonifica dell’oristanese a fronte di un reclamo in cui l’istante ha riportato che sul sito web del Consorzio era stato pubblicato un provvedimento disciplinare nei confronti di una sua dipendente, contenente informazioni relative allo stato di salute della stessa. Inoltre, la reclamante rilevava che il provvedimento stesso era reperibile, non solo sul sito web, ma anche direttamente dal motore di ricerca Google.

La reclamante aveva presentato richiesta al Consorzio affinché lo stesso provvedesse alla rimozione del documento, il quale, provvedeva tempestivamente a porre rimedio alla situazione creatasi a danno della reclamante rimuovendo la delibera dal proprio sito web.

Le memorie difensive del consorzio

A fronte del reclamo pervenuto, il Garante ha avviato un’attività istruttoria per accertare la presunta violazione degli artt. 5, par 1, lett. a) e c), 6, paragrafo 1, lett. c) ed e), 2 e 3, lett. b) del GDPR, nonché degli artt. 2-ter, commi 1 e 3 e 2-septies, comma 8 del Codice Privacy ed ha intimato al Consorzio di fare pervenire i propri scritti difensivi in merito. All’interno delle memorie presentate dal Consorzio, quest’ultimo:

(i) in primo luogo, ha sostenuto di essere totalmente consapevole della disciplina in materia di privacy, la quale prevede un termine di 15 giorni, oltre il quale è obbligatorio intervenire per procedere alla rimozione dei documenti contenenti dati ed informazioni personali; tuttavia, l’ufficio addetto a tali attività non aveva provveduto alla rimozione a causa di una mera dimenticanza.

(ii) In secondo luogo, ha rilevato che, a fronte della richiesta della parte istante, l’Ufficio addetto aveva prontamente provveduto a rimuovere il provvedimento dal sito web.

(iii) Infine, ha precisato che, con riferimento ai dati personali idonei a rivelare informazioni sullo stato di salute, i riferimenti ivi contenuti erano del tutto generici, ossia tali da non rivelare dettagli, neppure indirettamente, sulle condizioni psico-fisiche dell’interessata. In particolare, il Consorzio ha sostenuto che si trattava di riferimenti finalizzati a motivare l’adozione del provvedimento stesso in relazione ai comportamenti della reclamante avuti sul luogo di lavoro (in particolare, che la stessa non si recava sul luogo di lavoro per motivi di salute e per motivi di famiglia).

Le valutazioni del Garante

Innanzitutto, il Garante ha correttamente specificato che, come nel caso di specie, i dati personali dei lavoratori possono essere trattati da parte dei titolari solo nel caso in cui gli stessi siano necessari per adempiere obblighi o compiti previsti dalla disciplina di settore ovvero se necessari per la gestione del rapporto di lavoro, come previsto dagli artt. 6, par. 1, lett. c) ed e); 9, par. 2, lett. b) e par. 4; 88 del GDPR. Inoltre, l’art. 2-ter del Codice privacy dispone che l’operazione di diffusione (nel caso di nostra attenzione, la diffusione si è realizzata attraverso la pubblicazione online) da parte di soggetti pubblici è ammessa solo se prevista da specifica norma di legge o regolamento.

A ciò, viene aggiunto dall’Ufficio che i dati personali riguardanti lo stato di salute dell’interessato non possono essere in alcun modo diffusi: ciò in ragione della delicatezza delle informazioni a riguardo.

Il Garante ha inoltre ribadito che l’attività di trattamento deve sempre essere svolta in conformità alle previsioni dell’art. 5 del GDPR: ossia in conformità ai principi di liceità, trasparenza e correttezza e in conformità al principio di minimizzazione dei dati, in base al quale il trattamento dei dati deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Le violazioni

A fronte delle memorie difensive del Consorzio nelle quali lo stesso aveva riportato che i dati personali contenuti nel provvedimento sulla salute dell’interessata erano generici, il Garante ha contestato che, alla luce della disciplina, nella nozione di dato personale relativo alla salute vi rientra anche il mero riferimento a qualsiasi informazione da cui si possa desumere, anche indirettamente, l’esistenza di malattie o di patologie dei soggetti interessati.

Alla luce di ciò, il solo riferimento a “problemi di salute e di famiglia” sarebbe stato idoneo a determinare una violazione della disciplina in materia di trattamento e diffusione dei dati personali.

Il Garante ha quindi ritenuto che l’attività del Consorzio descritta in precedenza ha determinato una diffusione illecita dei dati personali relativi alla salute della dipendente, cui era diretto il provvedimento disciplinare, sostanziando una violazione degli artt. 5, 6 e 9 del GDPR e 2-ter e 2-septies del Codice privacy,.

In particolare, detta pubblicazione sul sito web aziendale del provvedimento disciplinare contenente il riferimento ai “problemi di salute e di famiglia” della dipendente ha violato:

(i) l’art. 5 GDPR, il quale dispone che il trattamento dei dati deve essere attuato in conformità ai principi indicati nell’articolo medesimo, tra cui il principio di trasparenza, di minimizzazione, di liceità e correttezza dei dati;

(ii) l’art. 6 GDPR, il quale dispone che affinché un trattamento possa essere lecito, deve essere fondato sul consenso dell’interessato o su altra base giuridica idonea a legittimare tale attività;

(iii) l’Art. 9 GDPR, il quale vieta il trattamento di categorie particolari di dati personali quali, appunto, i dati relativi allo stato di salute, salvo che il trattamento e la diffusione di questi non rientrino in uno dei casi eccezionali previsti dal secondo paragrafo.

Alla luce dell’attività istruttoria, degli elementi che ne sono emersi e degli accertamenti effettuati, il Garante ha quindi ritenuto che il Consorzio, non solo non ha provato l’esistenza di alcuna previsione normativa che legittimasse la diffusione dei dati relativi alla salute dell’interessata, ma ha anche ritenuto che la pubblicazione online del provvedimento si è protratta oltre il termine di 15 giorni previsto dalla normativa di settore, alla scadenza del quale il documento contenente i dati personali avrebbe dovuto essere rimosso.

Le sanzioni irrogate

In considerazione di quanto sopra, il Garante ha irrogato la sanzione amministrativa pecuniaria (oltre alla sanzione accessoria di pubblicazione del provvedimento sul sito web) di euro 5.000 nei confronti del Consorzio, poiché ha accertato la violazione della normativa in materia di trattamento dei dati personali come sopra descritta.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €