Garante per la protezione dei dati personali - Relazione 2014

Il trattamento di dati personali nella gestione del rapporto di lavoro

L’Autorita' continua a ricevere numerose segnalazioni e reclami relativi a forme di accesso ad informazioni personali oppure a modalita' di circolazione delle stesse all’interno della struttura lavorativa, ritenute indebite, tanto nel settore pubblico che nel settore privato.

A tale proposito il Garante, nel confermare che il personale che svolge specifiche mansioni di segreteria in base ad un atto di preposizione può legittimamente curare la consegna di comunicazioni al dipendente di una amministrazione pubblica (nel caso specifico con qualifica dirigenziale) nell’ambito di un procedimento disciplinare, quanto alle modalita' di consegna delle stesse ha ritenuto altresì lecito l’utilizzo dell’indirizzo di posta elettronica istituzionale assegnato al dipendente contestualmente alla consegna a mano in busta chiusa (all’interno della stanza assegnata al dipendente stesso). E' stata invece ritenuta non conforme al principio di pertinenza e non eccedenza l’invio di copia di una contestazione disciplinare ad una articolazione interna dell’ufficio sprovvista di competenze relative al procedimento disciplinare (provv. 31 luglio 2014, n. 392, doc. web n. 3399423).

In un altro caso, con riguardo al trattamento dei dati personali dei dipendenti posto in essere da un gestore del servizio di trasporto pubblico, consistente nella affissione sulle bacheche ubicate presso i depositi aziendali (nonchè tramite la rete aziendale intranet), di tabelle relative ai turni di servizio degli autisti, il Garante ha chiarito che sebbene le informazioni concernenti le causali di assenza dei lavoratori possano lecitamente essere oggetto di trattamento da parte del datore di lavoro − mediante il personale espressamente incaricato ai sensi dell’art. 30 del Codice −, nella misura in cui siano necessarie e pertinenti per dare corretta esecuzione al rapporto di lavoro ovvero per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi (artt. 11 comma 1, lett. a) e d ), nonchè 24, lett. a) e b) e, con riferimento ai dati sensibili, art. 26 del Codice e autorizzazione n. 1/2013, relativa al trattamento dei dati sensibili nei rapporti di lavoro) tuttavia, le medesime informazioni, specie se di natura sensibile, non possono essere messe a conoscenza di terzi non legittimati e degli altri dipendenti addetti al servizio di trasporto. Il Garante, sebbene non abbia ritenuto sussistente nel caso di specie, un’ipotesi di diffusione ai sensi dell’art. 4, comma 1, lett. m), del Codice – atteso che le tabelle erano state rese disponibili al personale in una sezione ad accesso riservato della intranet aziendale e su bacheche ubicate in locali il cui accesso era consentito unicamente ad un novero determinato o determinabile di soggetti (art. 4, comma 1, lett. l), del Codice) –, ha tuttavia rilevato che l’espressa indicazione di numerose informazioni di dettaglio sulle ragioni giustificative dell’assenza dal servizio con riguardo a ciascun lavoratore, ancorchè mediante sigle sintetiche, acronimi o abbreviazioni, rende indebitamente edotto ciascun lavoratore di vicende personali riferite ad altri colleghi, dando luogo ad un’illecita comunicazione di dati personali (provv. 3 luglio 2014, n. 341, doc. web n. 3325317).

Ancora in tema di circolazione di informazioni all’interno della struttura lavorativa, in questo caso privata, in occasione della lamentata illecita comunicazione ad una pluralita' di soggetti (tra i quali la quasi totalita' dei colleghi appartenenti all’unita' organizzativa di appartenenza del segnalante) di dati personali anche sensibili contenuti in un ricorso presentato davanti all’autorita' giudiziaria e notificato al datore di lavoro (tra i quali specifiche patologie e relative terapie), il Garante ha prescritto di conformare il sistema di protocollazione informatica ai principi di protezione dei dati personali. Posto che nel caso concreto è risultata accertata l’inesistenza di alcuna procedura differenziata e/o riservata preordinata alla gestione di dati anche sensibili contenuti in atti giudiziari nell’ipotesi – tutt’altro che remota, soprattutto in relazione a societa' di grandi dimensioni – in cui gli atti stessi siano riferiti a dipendenti della societa', il trattamento effettuato è stato ritenuto illecito per violazione dei principi di necessita', pertinenza e non eccedenza (provv. 12 giugno 2014, n. 298, doc. web n. 3318492).

Nell’ambito del rapporto di lavoro pubblico, con riferimento alla comunicazione di dati personali effettuata via telefono dal responsabile del personale al medico che ha redatto certificazioni relative ad un dipendente, il Garante ha chiarito che l’attivita' volta a far valere i diritti dell’amministrazione in relazione a certificazioni mediche ritenute non veritiere deve essere svolta utilizzando gli strumenti di controllo gia' previsti dalla disciplina di settore anche al fine di prevenire o contrastare condotte assenteistiche (che non contemplano, allo stato, attivita' di accertamento svolte direttamente nei confronti di colui che redige la certificazione sanitaria) nonchè, se del caso, rivolgendosi alla competente autorita' giudiziaria. Anche in occasione della tutela di propri diritti – che comunque deve svolgersi con modalita' conformi ai principi di pertinenza e non eccedenza rispetto alle finalita' perseguite – il datore di lavoro pubblico può, infatti, comunicare dati personali del dipendente solo se ciò sia previsto da una norma di legge o di regolamento (provv. 10 aprile 2014, n. 187, doc. web n. 3214369).

Merita evidenziare che in un altro caso il Garante ha ritenuto invece non fondata la segnalazione concernente il trattamento di dati sensibili da parte di un’amministrazione comunale nell’ambito di attivita' “dirette all’accertamento della responsabilita' civile, disciplinare e contabile [...]” del lavoratore (cfr. artt. 11, comma 1, lett. a), 20, comma 1 e art. 112, comma 2, lett. g), del Codice), confermando che, al fine di far valere i propri diritti in relazione a fenomeni di assenteismo e di eventuale non veritiera certificazione sanitaria, è possibile redigere note informative, segnalazioni o denunce contenenti anche riferimenti circostanziati alle ragioni e alle modalita' delle singole assenze alle competenti istituzioni (cfr. punto 8.2, Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico, del 14 giugno 2007, doc. web n. 1417809; v. anche provv. 24 settembre 2001, doc. web n. 39460). Nel caso di specie il datore di lavoro aveva richiesto al competente Ordine provinciale dei medici, nel rispetto della disciplina di settore (cfr. art. 5, l. n. 300/1970, artt. 55 e ss., d.lgs. n. 165/2001; sul punto, v. anche Dipartimento della funzione pubblica, Circolare n. 7 del 12 novembre 2009), “un controllo sulle certificazioni sanitarie prodotte” dall’interessato al fine di giustificare le proprie assenze per malattia derivante da causa di servizio. Tanto, in presenza di un particolare comportamento tenuto dal dipendente, documentato dalla certificazione attestante la specifica consecuzione dei periodi di assenza per malattia, rispetto al quale, in ragione delle peculiarita' del caso concreto, non potevano essere esperiti gli ordinari strumenti di controllo sulle assenze (cfr. art. 2 comma 1, lett. c), d.m. 18 dicembre 2009, n. 206 che esclude dall’obbligo di rispettare le fasce di reperibilita' i dipendenti per i quali l’assenza è dovuta a malattie per le quali sia stata riconosciuta la causa di servizio) (provv. 5 giugno 2014, n. 281, doc. web n. 3275942).

Anche il tema della liceita' della comunicazione da parte di un soggetto pubblico in qualita' di datore di lavoro alle organizzazioni sindacali di dati personali concernenti i lavoratori (quali nominativi, emolumenti percepiti ovvero numero di ore di straordinario effettuato dai singoli lavoratori) è stato oggetto di attenzione da parte del Garante che ha reso un proprio parere all’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (Aran). In particolare, la richiesta di chiarimenti formulata dall’Agenzia concerneva la legittimita' dell’istanza avanzata da parte di alcune organizzazioni sindacali nei confronti della dirigenza scolastica volta ad ottenere, in applicazione del Contratto collettivo nazionale del “comparto scuola” (art. 6, comma 2 del Ccnl 29 novembre 2007), i “nominativi del personale utilizzato nelle attivita' e progetti retribuiti con il fondo d’istituto” nonchè “i compensi erogati individualmente” a ciascuno di essi. Nel prendere atto che, in base ad alcune disposizioni contenute nei contratti collettivi applicabili per i singoli comparti dell’amministrazione, determinate informazioni in materia di gestione del rapporto di lavoro possono essere oggetto di specifici diritti di informazione (preventiva o successiva) in favore delle parti sindacali, il Garante ha affermato che solo ove il contratto collettivo applicabile preveda espressamente che l’informazione sindacale abbia ad oggetto anche dati nominativi del personale è possibile procedere a siffatta comunicazione (cfr. in particolare, punto 5.2. prima parte delle Linee guida, provv. 14 giugno 2007, doc. web n. 1417809). Nei restanti casi è consentita “solamente la comunicazione in forma anonima” (cfr. sul punto, provv. 20 dicembre 2012, n. 431, doc. web n. 2288474; in senso analogo, v. anche provv. 18 luglio 2013, n. 358, doc. web n. 2578201 che, con riguardo a specifici casi, hanno confermato le indicazioni gia' fornite in via generale con le menzionate Linee guida). Nel prendere posizione con riguardo allo specifico caso relativo al “comparto scuola”, è stato pertanto chiarito che le norme contrattuali di riferimento consentono la comunicazione dei nominativi dei docenti coinvolti nelle attivita' finanziate con il cd. fondo d’Istituto (art. 6, comma 2, lett. n), Ccnl cit.), non gia' la comunicazione dei compensi accessori erogati individualmente i quali potranno essere comunicati indicandone l’importo complessivo “per fasce” o “qualifiche”. Da ultimo il Garante, nel ribadire che restano impregiudicate le altre forme di conoscibilita' degli atti amministrativi, nei limiti e con le modalita' stabilite dalla disciplina di settore (artt. 22 ss., legge 7 agosto 1990, n. 24; sulla legittimazione all’esercizio del diritto di accesso da parte delle organizzazioni sindacali cfr. C.d.S., Sez. VI, 20 novembre 2013, nn. 6186 e 5511, ma anche C.d.S., Sez. VI, 23 febbraio 2012, n. 1034 e 11 gennaio 2010, n. 26, da ultimo, Tar Emilia Romagna, Sez. Parma, 28 maggio 2014, n. 173), ha precisato che la messa a disposizione di terzi delle citate informazioni non può comunque avvenire attraverso la diffusione sul sito web dell’istituto scolastico, atteso che la recente disciplina in materia di trasparenza prevede di dare evidenza dei livelli di selettivita' e premialita' nella distribuzione dei premi e degli incentivi al personale “in forma aggregata” (art. 20, commi 1 e 2, d.lgs. n. 33/2013) (nota 7 ottobre 2014).

In tema di comunicazione di dati personali relativi al trattamento economico dei dipendenti e collaboratori, l’Autorita' – in risposta ad un quesito formulato dal Ministero dell’economia e delle finanze – ha ritenuto che il testo dell’art. 60, comma 3, d.lgs. 20 marzo 2001, n. 165, come modificato dall’art. 2, d.l. 31 agosto 2013, n. 101 (convertito con modificazioni in l. 30 ottobre 2013, n. 125), debba essere interpretato nel senso che le societa' partecipate dalle pubbliche amministrazioni nonchè tutti gli altri soggetti indicati dalla norma (e in particolare, tra questi, la societa' concessionaria del servizio pubblico radiotelevisivo) sono tenute a comunicare alla Presidenza del Consiglio dei ministri – Dipartimento della funzione pubblica nonchè al Ministero dell’economia e delle finanze, informazioni relative al costo annuo del personale rese anche in forma non nominativa ed eventualmente aggregate per tipologia contrattuale e classi stipendiali. La citata norma, inoltre, non contempla alcuna forma di pubblicazione di dati personali nominativi riferiti ai singoli rapporti di lavoro (nota 27 marzo 2014).