Il Garante della Privacy pubblica sul proprio sito istituzionale la newsletter 28 novembre 2013, n.381, nella quale è contenuto un parere sulla comunicazione a terzi di dati sensibili riguardanti un lavoratore. Il parere prende le mosse dalla denuncia di un dipendente dell’Azienda sanitaria provinciale (Asp) di Caltanissetta
Il lavoratore ha lamentato l’illecita comunicazione di dati personali, ritenuti avere natura sensibile, a sé riferiti concernenti l’esistenza di un procedimento che lo riguarda relativo al riconoscimento della causa di servizio per patologie di cui è affetto. Tale comunicazione sarebbe avvenuta mediante la trasmissione da parte dell’Asp di Caltanissetta di una nota di sollecito al Comitato di verifica per le cause di servizio riguardante dieci dipendenti (e tra questi il segnalante), indicati nominativamente nel sollecito, ai quali tutti la medesima nota sarebbe stata inviata per conoscenza. Ciascuno dei dieci interessati sarebbe stato indebitamente reso edotto così dell’esistenza di procedimenti amministrativi riguardanti, oltre che la propria persona, gli altri nove lavoratori e, al contempo, messo a conoscenza di dati concernenti le condizioni di salute di ciascuno di questi.
Il Garante ritiene illecita la comunicazione di dati sensibili riferiti al segnalante nonché agli altri lavoratori e prescrive all’Asp Caltanissetta di adottare opportune misure, idonee a conformare il trattamento dei dati personali nell’ambito della gestione del rapporto di lavoro alla disciplina di protezione dei dati personali, anche alla luce delle indicazioni già fornite in via generale nelle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico
Ecco il testo del parere del Garante
I dati personali, specie se sensibili, devono essere comunicati, anche nell’ambito del rapporto di lavoro, esclusivamente alle persone o agli uffici che ne possono legittimamente avere conoscenza. Lo ha ribadito il Garante in una serie di provvedimenti che hanno riguardato nello specifico trattamenti di dati effettuati dalla pubblica amministrazione. Alcuni dipendenti avevano infatti segnalato la violazione della propria privacy avendo le amministrazioni di appartenenza comunicato a terze persone dati sulla propria salute o altre informazioni riservate, come quelle relativa a procedimenti disciplinari che li vedevano coinvolti.
In un caso [doc. web n. 2774063], un ente regionale aveva inviato una unica e-mail non solo ai dipendenti da sottoporre a ulteriori accertamenti per verificare se continuava a sussistere l’idoneità al lavoro, ma anche a vari uffici dell’amministrazione, alcuni dei quali peraltro non competenti sulla questione. Dal tipo di esami prescritti, ogni destinatario poteva evincere informazioni sulle condizioni di salute del personale interessato. Secondo il Garante, tale comunicazione, giustificata dall’ente con la necessità di organizzare i turni di lavoro del personale in servizio, costituisce invece un illecito trattamento di dati sensibili.
Un altro caso di violazione della privacy dei lavoratori ha coinvolto una Azienda sanitaria provinciale [doc. web n. 2753605] che, per supposte ragioni di “speditezza ed economicità”, aveva inviato una nota di sollecito al Comitato di verifica per le cause di servizio di dieci dipendenti. Anche in questa occasione non era stata effettuata una comunicazione individuale poiché tutti i dipendenti della Asl erano infatti stati messi in copia ed erano venuti a conoscenza di informazioni idonee a rivelare le condizioni di salute degli altri lavoratori.
Il Garante ha accolto anche il reclamo [doc. web n. 2747867] della dipendente di una autorità portuale che protestava perché l’ente, in occasione della liquidazione del premio di risultato al personale, aveva reso noto ai suoi colleghi le note valutative e due sanzioni disciplinari da lei ricevute. La comunicazione di tali informazioni ad altre persone non era prevista da alcuna specifica norma di legge o regolamento, e sarebbe dovuta rimanere riservata.
Non sempre, però, le segnalazioni e i reclami del personale corrispondono a effettivi illeciti. In due casi [doc. web n. 2501216 e 2174582], ad esempio, alcuni lavoratori si erano lamentati di aver ricevuto dalle rispettive amministrazioni regionali comunicazione di una sanzione disciplinare in busta aperta, consentendo così a terzi di poterla leggere. Il Garante, sulla base degli accertamenti effettuati, pur avendo rilevato delle carenze organizzative in merito al trattamento dei dati personali, non ha riscontrato violazioni in merito a quanto segnalato: le contestazioni, infatti, erano state inoltrate attraverso incaricati del trattamento che, per l’attività svolta, erano pienamente legittimati a conoscerne il contenuto delle comunicazioni.
Nei vari provvedimenti adottati, l’Autorità ha ricordato che il trattamento dei dati deve sempre garantire un adeguato rispetto del diritto alla dignità e alla riservatezza del lavoratore, privilegiando forme di comunicazione individualizzate, come da tempo indicato nelle apposite linee guida emanate dal Garante in materia di rapporto di lavoro. Per quanto riguarda le informazioni di carattere sensibile relative ai dipendenti, l’Autorità ha sottolineato che la trasmissione a terzi può avvenire solo in presenza di una idonea base giuridica e solo laddove esse siano realmente indispensabili per perseguire le specifiche finalità di rilevante interesse pubblico.
Il Garante ha prescritto a tutte le amministrazioni che hanno trattato illecitamente i dati dei lavoratori di adottare opportune e idonee misure per adeguare le procedure interne alla normativa sulla privacy e ha avviato nei loro confronti specifici procedimenti sanzionatori.
FONTE: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2753605
29 novembre 2013