Con un recente provvedimento, il Garante per la privacy ha sanzionato un’azienda per aver contattato direttamente il medico di base di un dipendente per ottenere informazioni sulla sua salute.
Il caso offre il destro per affrontare il problema del confine tra il legittimo interesse del datore di lavoro nella gestione del personale e il diritto dei lavoratori alla riservatezza.
L’indagine del Garante è partita da un reclamo del dipendente, che ha denunciato un’interferenza indebita nella gestione delle proprie certificazioni mediche. In particolare, il rappresentante legale dell’azienda ha contattato telefonicamente il medico di base della lavoratrice, ricevendo da quest’ultimo informazioni che mettevano in dubbio la legittimità delle richieste di malattia della dipendente.
Detta comunicazione veniva giudicata dal Garante come una violazione del GDPR e della normativa nazionale, in quanto il datore di lavoro non è legittimato a raccogliere direttamente informazioni sulla salute del dipendente al di fuori delle procedure previste dalla normativa.
Invero, secondo il Garante, la normativa renderebbe tale comunicazione del tutto superflua e, comunque, in contrasto con i principi di cui all’articolo 5 del GDPR. Se poi, come sembra essere accaduto in questo caso, la telefonata si sia spinta addirittura sino a valutazioni e/o considerazioni relative alla bontà delle certificazioni mediche rilasciate, appare del tutto evidente che un trattamento dei dati del dipendente di tale sorta sia illecito.
Secondo la normativa appena richiamata, il datore di lavoro può verificare lo stato di malattia di un dipendente esclusivamente attraverso i servizi ispettivi dell’INPS. Al rientro da un periodo di malattia, secondo le prescrizioni dei cui all’articolo 41, comma 2, lett e-ter) D. Lgs. 81/2008, il medico aziendale può ritenere necessario effettuare una visita al fine di valutare l’idoneità alla mansione specifica. Fuori da questi ambiti, il datore di lavoro non può “investigare” per individuare indizi a discapito dei propri dipendenti.
In questo caso, l’azienda avrebbe tentato di ottenere informazioni direttamente dal medico di base, senza alcuna autorizzazione, andando così oltre i limiti imposti dalla legge. Il provvedimento ha portato all’applicazione di una sanzione amministrativa di € 6.000,00 – nei confronti dell’azienda, oltre alla pubblicazione dell’ordinanza sul sito del Garante.
(Fonte: Garante per la protezione dei dati personali).
