Ultimo aggiornamento 09/07/2022
Il datore di lavoro ha l’obbligo di organizzare e strutturare la sua azienda in modo sufficientemente sicuro e tale da evitare la circolazione di dati personali, oltre a quello di formare e aggiornare il personale dipendente deputato al trattamento di tali dati.
La violazione di tale dovere rende illecito il trattamento dei dati riguardanti lo stato di salute dei dipendenti, soprattutto laddove il titolare non abbia adottato misure volte ad assicurare che oggetto di trattamento siano esclusivamente i dati ritenuti in concreto adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite.
Il principio è stato enunciato dal Garante della privacy che con provvedimento n. 9562814 ha definito il reclamo di un dipendente privato che lamentava presunte violazioni della disciplina posta in materia di protezione dei dati personali da parte del datore di lavoro, presso il quale prestava servizio.
L’interessato riferiva che personale dell’azienda datrice di lavoro avrebbe inoltrato ad un soggetto terzo – estraneo alla compagine aziendale – una e-mail recante in allegato certificazioni mediche complete di diagnosi da lui inviate il giorno precedente allo scopo di chiedere il rinvio, per ragioni di salute, di un imminente viaggio all’esterno per conto del datore di lavoro. Lo stesso rappresentava, altresì che in fase pre-assuntiva gli sarebbe stata chiesta la produzione del certificato penale e dei carichi pendenti senza il riferimento a un’idonea base giuridica che giustificasse l’effettuazione dei prospettati trattamenti.
Al riguardo, occorre ricordare che, l’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”) prevede espressa responsabilità , salvo che il fatto non costituisca più grave reato, per chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze, ovvero produca atti o documenti falsi.
Nel caso in esame, l’istruttoria svolta dal Garante ha evidenziato la mancanza di un sistema di misure tecniche ed organizzative adeguate (come previsto dall’art. 24 del Regolamento), volte ad individuare i soggetti autorizzati a trattare i dati sanitari. È emersa, inoltre, la mancata definizione degli ambiti delle comunicazioni interne relative a tali informazioni, l’assenza di istruzioni sulle modalità del trattamento dei dati particolari, anche accidentalmente conosciuti, nonché la mancata adozione di misure di sicurezza adeguate al rischio.
Per tale ragione il Garante ha concluso che il datore di lavoro non ha sostanzialmente adempiuto al suo obbligo di accountability, non ha organizzato e strutturato la sua azienda in modo sufficientemente sicuro e tale da evitare la circolazione di dati personali, oltre a non aver adeguatamente formato e aggiornato il suo personale dipendente deputato al trattamento di tali dati. Ciò ha comportato sia l’illecito trattamento dei dati riguardanti lo stato di salute dei dipendenti, sia la violazione del principio di minimizzazione, in quanto il titolare non ha adottato misure volte ad assicurare che fossero oggetto di trattamento esclusivamente i dati ritenuti in concreto adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite.
Riscontrata, pertanto, la fuga di notizie ne ha individuato la causa in una omessa o carente organizzazione, all’interno dell’azienda, del processo di gestione delle informazioni sensibili.
Inoltre, con riferimento all’acquisizione del certificato del casellario giudiziale la sua produzione da parte del reclamante in fase pre-assuntiva il Garante ha affermato il principio che detta prassi non è conforme alle indicazioni normative che prevedono puntuali limiti in tema di verifica degli operatori economici.
La circostanza, peraltro, che i committenti della società avessero richiesto _”di conoscere l’eventuale inflizione di condanne ovvero anche la semplice pendenza di eventuali procedimenti giudiziari a carico della società e/o dei propri rappresentanti”_ non costituisce base giuridica idonea a legittimare il trattamento di dati giudiziari.
Al termine del procedimento la società è stata condannata alla sanzione amministrativa di 40 mila euro per aver violato il principio di accountability in quanto ha male organizzato la gestione del trattamento dei dati personali dei dipendenti, tanto da non poter evitare una fuga di notizie, e per aver richiesto dati personali di tipo giudiziario senza che vi fosse una legittima base giuridica-.
