La protezione dei dati personali nel rapporto di lavoro pubblico e privato

Sempre più frequentemente vengono lamentate forme di accesso ad informazioni personali o di circolazione improprie di dati personali all’interno della realta' lavorativa. In taluni casi, l’accertamento dei trattamenti oggetto di segnalazione è risultato non agevole o impossibile (v., ad es., provv. 1° agosto 2013, n. 383, doc. web n. 2604028, nel quale il Garante, a seguito di una pur articolata istruttoria, in presenza di dichiarazioni non concordanti rese dalle parti del procedimento, ha potuto accertare il solo mancato aggiornamento di dati personali riferiti al segnalante alla luce delle risultanze del libro dei soci; analogamente, nel caso deciso con provv. 8 maggio 2013, n. 232, doc. web n. 2501216, pur non risultando comprovato che note aventi ad oggetto un procedimento disciplinare fossero state trasmesse all’interessato da personale non autorizzato in base alle mansioni attribuite all’interno di un’amministrazione regionale, sulla base degli elementi emersi, il Garante ha comunque prescritto all’ente, quale misura opportuna, di rivalutare le soluzioni organizzative adottate al fine di assicurare maggiore effettivita' nell’attuazione della disciplina di protezione dei dati personali, con particolare riguardo alla designazione degli incaricati e al coordinamento tra le molteplici unita' organizzative presenti all’interno dell’amministrazione).

In molti altri casi sono invece emerse diverse violazioni: così, in una vicenda peculiare, è stata ritenuta illecita la comunicazione effettuata ad una compagnia di assicurazione di dati personali di una lavoratrice al fine di attivare una polizza collettiva da parte del datore di lavoro contraente, in assenza del consenso informato della lavoratrice/assicurata necessario ai sensi degli artt. 13 e 23 del Codice (oltre che in base all’art. 1919 c.c. per i diversi profili contrattuali). Si è ritenuto pertanto (in un contesto di dichiarazioni peraltro discordanti circa l’origine e le modalita' di acquisizione dei dati personali riferiti alla segnalante) di muovere dal contenuto del contratto di assicurazione stipulato dal datore di lavoro che poneva in capo a quest’ultimo (contraente e beneficiario della polizza) l’obbligo di trasmettere all’assicuratore i dati personali riferiti ai propri dipendenti (allo stesso noti) necessari alla predisposizione e alla successiva gestione della polizza collettiva. Nell’ambito del medesimo provvedimento è stata altresì dichiarata l’illiceita' del trattamento dei dati riferiti alla segnalante effettuato dalla compagnia di assicurazione in difetto della prescritta informativa (provv. 11 aprile 2013, n. 179, doc. web n. 2492743).

In altra vicenda, il Garante ha ritenuto infondato un reclamo presentato a seguito della comunicazione di informazioni sul reddito di un dipendente (emolumenti percepiti e somme che avrebbero dovuto essere corrisposte all’esito di una transazione in corso) effettuata dal datore di lavoro su richiesta di un legale nell’ambito di un giudizio di separazione personale. Posto che non è necessario acquisire il consenso dell’interessato per effettuare una comunicazione di dati personali quando ciò sia necessario per far valere o difendere un diritto in giudizio (cfr. art. 24, comma 1, lett. f ), del Codice), le informazioni comunicate sono state ritenute pertinenti e non eccedenti rispetto alla trattazione nel corso della pendente causa di separazione (provv. 11 aprile 2013, n. 180, doc. web n. 2475832).

Anche nel settore del pubblico impiego la materia dell’indebita circolazione di informazioni personali non solo verso l’esterno ma anche all’interno dei contesti lavorativi (verso soggetti non autorizzati), rimane d’attualita'. Ciò è confermato dai numerosi casi segnalati, alcuni dei quali aventi ad oggetto dati sensibili dei lavoratori, che evidenziano talora la mancata adozione di idonee procedure interne volte a consentire il corretto trattamento di dati personali (o comunque la loro inosservanza ove previste). Nella maggior parte dei casi, l’Autorita' ha accertato l’illiceita' delle comunicazioni di dati personali dei lavoratori a soggetti terzi riservandosi di valutare, con separato procedimento, gli estremi per la contestazione delle violazioni amministrative previste dalla disciplina del Codice.

A tale proposito, è stato ribadito che, anche in ambito lavorativo, il trattamento di dati sensibili da parte di soggetti pubblici può essere effettuato in modo lecito solo se previsto da specifica norma di legge ed in relazione ad informazioni ritenute indispensabili per lo svolgimento delle attivita' istituzionali da parte dell’amministrazione (cfr. artt. 20, comma 1 e 22, comma 3 del Codice). Ciò tanto più se trattasi, come in un caso oggetto di segnalazione, della comunicazione di informazioni su specifiche patologie (nonchè sul grado di disabilita' conseguito) sofferte dal dipendente di un’azienda sanitaria provinciale avvenuta in occasione della richiesta, avanzata da quest’ultimo, di permanenza in servizio fino al compimento del 67° anno di eta'. La normativa di settore prevede che, in tale ipotesi, l’amministrazione debba valutare la richiesta in base alle proprie “esigenze organizzative e funzionali”, senza riferimento alcuno alla necessita' di trattare dati sanitari. Nella vicenda considerata, invece, il dato riferito ad una grave patologia (puntualmente indicata) occorsa al lavoratore ha formato oggetto di menzione nell’ambito di uno scambio di corrispondenza tra diverse articolazioni dell’azienda: ritenuta tale circolazione di informazioni sensibili non indispensabile nè pertinente rispetto alla finalita' perseguita dall’amministrazione, oltre che lesiva della dignita' dell’interessato, il trattamento è stato ritenuto dal Garante illecito; considerato inoltre il contenuto (talvolta anche divergente) delle comunicazioni inviate all’Autorita' nel corso dell’istruttoria, il Garante ha altresì prescritto al titolare di rivalutare le soluzioni organizzative esistenti allo scopo di assicurare effettivita' nell’attuazione della disciplina di protezione dei dati personali, identificando, vista la presenza della figura del “referente aziendale privacy”, le funzioni competenti ad interloquire con l’autorita' di controllo (provv. 18 dicembre 2013, n. 589, doc. web n. 2909040).

Tra le segnalazioni e i reclami pervenuti vale la pena evidenziare quelli relativi alle modalita' di notifica di comunicazioni concernenti procedimenti disciplinari ovvero documenti contenenti valutazioni riferite a singoli lavoratori. In particolare, in occasione della consegna al personale di un’autorita' portuale delle buste paga nelle quali venivano altresì liquidati gli importi legati al riconoscimento di premi di produttivita', era stata consegnata al personale della struttura anche copia di un processo verbale concernente il raggiungimento degli obiettivi oggetto di contrattazione collettiva, contenente altresì le note valutative e la menzione dell’irrogazione di sanzioni disciplinari a carico di una dipendente. Nella vicenda considerata, il Garante ha ritenuto integrata una comunicazione di dati personali in violazione di legge (cfr. artt. 11, comma 1, lett. a) e 19, comma 3, del Codice), peraltro avvenuta secondo modalita' non conformi al principio di pertinenza e non eccedenza nel trattamento dei dati (art. 11, comma 1, lett. d ), del Codice). Nel ribadire che il datore di lavoro pubblico, nel legittimo perseguimento della propria attivita' istituzionale, deve poter tener conto delle eventuali sanzioni disciplinari comminate al personale in sede di commisurazione del premio di risultato (attivita' che rientra nel novero delle finalita' di gestione del rapporto di lavoro), tuttavia, l’Autorita' ha precisato che le misure disciplinari adottate non possono essere oggetto di comunicazione a soggetti diversi dall’interessato in assenza di una specifica norma di legge o di regolamento (provv. 3 ottobre 2013, n. 431, doc. web n. 2747867).

Tra le decisioni di analogo contenuto, merita evidenziare due casi concernenti la riconosciuta illiceita', per assenza del presupposto normativo, della trasmissione, da parte di un Tribunale, delle schede valutative relative a due dipendenti ai due diversi enti presso i quali le stesse prestavano temporaneamente la propria attivita' lavorativa (in un caso per distacco ex art. 30, comma 1, d.lgs. 10 settembre 2003, n. 276, in altro per assegnazione temporanea ex art. 23-bis, comma 7, d.lgs. n. 165/2001).

In entrambe le fattispecie la documentazione contenente dati personali (le menzionate schede di valutazione) era stata trasmessa (in un caso via fax e in un altro mediante casella di posta elettronica certificata) dal personale amministrativo operante presso il Tribunale, indirizzandola, non gia' alle dirette interessate (come peraltro stabilito dall’accordo sindacale al precipuo fine di consentire alle stesse di formulare le proprie osservazioni), ma ai diversi Uffici presso i quali le due lavoratrici risultavano temporaneamente in servizio, consentendo, per l’effetto, al personale ivi operante di prenderne conoscenza, in carenza di idoneo presupposto normativo (provv.ti 5 dicembre 2013, n. 545, doc. web n. 2894559 e n. 546, doc. web n. 2896275).

La condotta tenuta si è distaccata dalle indicazioni formulate da tempo dal Garante (cfr. le linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico del 14 giugno 2007 e gia' il punto 5.5 della deliberazione n. 53 del 23 novembre 2006, doc. web n. 1364939, linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati) con le quali si è precisato che “fuori dei casi in cui forme e modalita' di divulgazione di dati personali siano regolate specificamente da puntuali previsioni [...], l’amministrazione deve utilizzare forme di comunicazione individualizzate con il lavoratore, adottando le misure più opportune per prevenire la conoscibilita' ingiustificata di dati personali [...] da parte di soggetti diversi dal destinatario, ancorchè incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l’interessato a ritirare personalmente la documentazione presso l’ufficio competente; ricorrendo a comunicazioni telematiche individuali)” (punto 5.3). Nè la circostanza che possa sussistere in capo al mittente, come nei casi considerati, un legittimo interesse ad acquisire prova dell’avvenuta ricezione della documentazione inviata, può esonerarlo dall’adottare opportune cautele volte ad evitare che soggetti diversi dal destinatario possano apprenderne il contenuto senza essere a ciò legittimati, prevenendo così lesioni del diritto alla riservatezza e alla protezione dei dati dell’interessato.

Nè viene meno l’illiceita' della comunicazione per il fatto che il Tribunale, in una delle fattispecie considerate (provv. n. 545/2013, cit.) abbia inviato la documentazione in questione indirizzandola (anzichè all’interessata) alla casella di posta elettronica certificata della societa' presso la quale la medesima prestava servizio. A giudizio del Garante, infatti, il richiamo operato dal titolare del trattamento all’art. 16-bis, comma 6, d.l. 29 novembre 2008, n. 185 (convertito con modificazioni, dall’art. 1, l. 28 gennaio 2009, n. 2) non era pertinente, atteso che detta disposizione, nel consentire alle pp.aa. di avvalersi della posta elettronica certificata quale canale comunicativo con i dipendenti della medesima (e di diversa) amministrazione, fa riferimento all’indirizzo di posta elettronica eventualmente ai medesimi assegnato (uti singuli) e non, invece, a quello dell’amministrazione presso la quale gli stessi prestano servizio. Ciò si desume dall’art. 47, comma 3, d.lgs. 7 marzo 2005, n. 82 (Cad) che consente alle pp.aa. di utilizzare “per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati”, informativa che, peraltro, nel caso di specie, non è risultato sia stata fornita all’interessata. Peraltro, accedendo all’interpretazione fornita dal titolare del trattamento – al di la' della cir- costanza che un novero assai ampio di comunicazioni di natura personale e talora sensibile riferite ai singoli interessati potrebbe essere soggetto ad ampia circolazione nell’ambito delle pp.aa. –, si perverrebbe all’esito opposto voluto dalla norma che mira, come esplicitato dalla rubrica dell’art. 16-bis, ad introdurre “misure di semplificazione”: semplificazioni che si ottengono consentendo l’invio delle comunicazioni all’indirizzo di posta elettronica assegnato ai dipendenti destinatari delle stesse (non diversamente dai cittadini menzionati all’art. 16-bis, comma 5) e non invece obbligando (invero irrazionalmente) le amministrazioni ad utilizzare i propri indirizzi istituzionali di posta elettronica certificata per (poi) far pervenire – secondo canali tradizionali – le comunicazioni ai diretti interessati.

Analogamente, a fronte di un reclamo concernente la comunicazione di dati personali (sensibili) via posta elettronica indirizzata ad una pluralita' di destinatari, il Garante ha ritenuto illecita l’operazione di trattamento in ragione delle modalita' utilizzate dal datore di lavoro. Nel caso di specie era stata diramata ad alcune stazioni di un corpo forestale e di vigilanza ambientale, all’indirizzo e-mail personale di diversi dipendenti e ai superiori gerarchici degli interessati, una comunicazione riguardante 32 dipendenti, cui era allegata una tabella recante i nominativi dei lavoratori che, su richiesta del medico competente, a seguito della visita medica periodica effettuata ai fini dell’accertamento dello stato di salute ed idoneita' alle mansioni (ai sensi dell’art. 41, comma 2, lett. b), d.lgs. n. 81/2008), avrebbero dovuto sottoporsi ad ulteriori accertamenti sanitari. La tabella riportava altresì per ciascuno il numero di matricola, la data di nascita, il Servizio di appartenenza, nonchè l’indicazione delle ulteriori visite ed esami richiesti (provv. 10 ottobre 2013, n. 443, doc. web n. 2774063). La tipologia degli accertamenti medici richiesti per i reclamanti (e per ciascuno degli altri interessati) nell’ambito del procedimento per il rilascio del giudizio di idoneita' alla mansione specifica non può, a giudizio del Garante, in assenza di specifica base normativa, essere resa nota a terzi (artt. 11, comma 1, lett. a), e 20 comma 1 e 2, del Codice). Sotto diverso profilo, inoltre, gli stessi lavoratori destinatari della comunicazione e convocati per gli accertamenti – rispetto ai quali, come detto, sarebbe stato opportuno provvedere a comunicazioni individualizzate − non avevano titolo alcuno per venire a conoscenza degli accertamenti clinici disposti in capo ai colleghi, nè sussistevano ragioni per mettere i lavoratori reciprocamente a conoscenza anche della specifica natura degli accertamenti prescritti. Con riguardo infine alla comunicazione nei confronti dei superiori gerarchici e delle strutture territoriali del Corpo forestale, l’Autorita' ha chiarito che, salve le esigenze di servizio e di gestione dei turni di lavoro, l’avvenuta trasmissione della tabella nominativa è stata effettuata in violazione del principio di indispensabilita', poichè sarebbe stato sufficiente mettere a parte questi ultimi del solo termine fissato per lo svolgimento degli accertamenti del personale di diretta collaborazione al fine di consentire il tempestivo approntamento delle sostituzioni tra il personale, senza indicare la tipologia degli accertamenti sanitari.

Tale orientamento è stato confermato in successive decisioni, tra le quali merita evidenziare la riconosciuta illiceita', per violazione dei principi di necessita', finalita' e liceita', del trattamento di dati sensibili concernenti le condizioni di salute di propri dipendenti effettuato da un’azienda sanitaria provinciale. Nel caso considerato, l’azienda aveva inviato nota di sollecito al Comitato di verifica per le cause di servizio relative a dieci dipendenti (e, tra questi, al segnalante), inviando a tutti per conoscenza la medesima nota. Per effetto delle modalita' comunicative prescelte, il trattamento dei dati dei dipendenti – legittimamente effettuato dall’Asp limitatamente all’istruttoria del procedimento regolato dal d.P.R. n. 461/2001, con l’adozione delle garanzie ivi previste – è risultato effettuato in violazione degli artt. 11, comma 1, lett. a) e 20, commi 1 e 2, del Codice: ciascuno dei dieci interessati, infatti, è stato indebitamente reso edotto dell’esistenza di procedimenti amministrativi riguardanti, oltre che la propria persona, gli altri nove lavoratori e, al contempo, messo a conoscenza di dati concernenti le condizioni di salute di ciascuno di questi (provv. 10 ottobre 2013, n. 442, doc. web n. 2753605). La menzione di procedimenti per il riconoscimento della dipendenza di infermita' da causa di servizio facenti capo ai lavoratori contenuta nel sollecito oggetto di segnalazione comporta invero, pur non essendo stata esplicitata nel medesimo la specifica patologia relativa a ciascuno, una comunicazione di dati comunque suscettibile di “rivelare lo stato di salute” degli interessati ai sensi dell’art. 4, comma 1, lett. d), del Codice (in merito alla nozione di dato relativo alle condizioni di salute cfr. linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro in ambito pubblico, punto 6.3; provv.ti 27 giugno 2013, n. 315, doc. web n. 2576686; 3 febbraio 2009, doc. web 1597590; 7 luglio 2004, doc. web n. 1068839 e 1068917; v. anche Cass., 1° agosto 2013, n. 18980).

In altra decisione, il Garante ha dichiarato l’illiceita' della circolazione avvenuta nell’ambito di un ateneo di documentazione contenente dati relativi alla salute dell’interessata (segnatamente le informazioni relative all’“interdizione dal lavoro” di una docente per le ragioni previste dall’art. 17 comma 2, lett. a), d.lgs. n. 151/2001 in presenza di “gravi complicanze della gravidanza o [a] persistenti forme morbose che si presume possano essere aggravate dallo stato di gravidanza”). L’Autorita' ha precisato che i dati sensibili in questione, che legittimamente possono essere trattati dalle competenti funzioni e dal personale amministrativo dell’Universita' a tal fine incaricato del trattamento per la dichiarata finalita' di “gestione del rapporto di lavoro” (cfr. artt. 11, comma 1, lett. a), 20, comma 1 e 112, comma 1, del Codice), non potevano invece formare legittimamente oggetto di comunicazione a terzi (nel caso di specie ad altro docente nonchè ai componenti del Consiglio di Facolta') non avendo questi titolo alcuno a trattarli per la menzionata finalita' di gestione del rapporto di lavoro (provv. 27 giugno 2013, n. 315, doc. web n. 2576686).

Fonte: Garante per la protezione dei dati personali - Relazione 2013