Il Garante privacy sanziona un'azienda con 40 mila euro per non aver trattato in modo sufficientemente responsabile i dati dei suoi dipendenti

Trattamento dati dipendenti: la sanzione del Garante privacy

[Torna su]

Il Garante della privacy (provvedimento n. 9562814) si è espresso in merito alla gestione del trattamento dei dati personali di un dipendente e, a seguito del conseguente accertamento, anche sulle misure adottate dal datore di lavoro in relazione al principio di accountability.

Un dipendente ha presentato reclamo al Garante lamentando presunte violazioni della disciplina posta in materia di protezione dei dati personali da parte del datore di lavoro, presso il quale il reclamante prestava servizio. In particolare, egli ha lamentato che personale dell'azienda presso la quale lavorava avrebbe inoltrato ad un soggetto terzo - estraneo alla compagine aziendale - una e-mail recante in allegato certificazioni mediche complete di diagnosi da lui inviate il giorno precedente allo scopo di chiedere il rinvio, per ragioni di salute, di un imminente viaggio all'esterno per conto del datore di lavoro. Il reclamante ha anche rappresentato che in fase pre-assuntiva gli sarebbe stata chiesta la produzione del certificato penale e dei carichi pendenti "omettendo di indicare un'idonea base giuridica per l'effettuazione dei prospettati trattamenti".

Il datore di lavoro ha ovviamente depositato delle memorie, affermando di essere estraneo alla diffusione dei dati, e di aver richiesto i certificati penali in quanto necessari al committente principale presso il quale l'interessato era destinato a prestare la sua attività lavorativa.

Vi è da precisare che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze, ovvero produca atti o documenti falsi, ne risponde ai sensi dell'art. 168 del Codice ("Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante").

I riscontri del Garante privacy

[Torna su]

Tenuto anche conto di quanto dichiarato dal datore di lavoro laddove ha sostenuto di non trattare dati sulla salute tranne i giudizi di idoneità redatti dal medico competente, dall'istruttoria svolta dal Garante non è risultato che lo stesso - in qualità di titolare del trattamento - abbia approntato un sistema di misure tecniche ed organizzative adeguate (come previsto dall'art. 24 del Regolamento), e volte ad individuare i soggetti autorizzati a trattare i dati sanitari. Non sono stati inoltre definiti gli ambiti delle comunicazioni interne relative a tali informazioni, né impartite specifiche istruzioni sulle modalità del trattamento dei dati particolari, anche accidentalmente conosciuti, ovvero adottate misure di sicurezza adeguate al rischio. Il datore di lavoro non ha sostanzialmente adempiuto al suo obbligo di accountability, non ha organizzato e strutturato la sua azienda in modo sufficientemente sicuro e tale da evitare la circolazione di dati personali, oltre a non aver adeguatamente formato e aggiornato il suo personale dipendente deputato al trattamento di tali dati. Ciò ha comportato sia l'illecito trattamento dei dati riguardanti lo stato di salute dei dipendenti, sia la violazione del principio di minimizzazione, in quanto il titolare non ha adottato misure volte ad assicurare che fossero oggetto di trattamento esclusivamente i dati ritenuti in concreto adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite.

In buona sostanza il Garante ha riscontrato la fuga di notizie e ha individuato la causa in una omessa o carente organizzazione, all'interno dell'azienda, del processo di gestione delle informazioni sensibili.

Con riferimento all'acquisizione del certificato del casellario giudiziale la sua produzione da parte del reclamante in fase pre-assuntiva non è conforme alle indicazioni normative che prevedono puntuali limiti in tema di verifica degli operatori economici. La circostanza, inoltre, che i committenti della società avessero richiesto "di conoscere l'eventuale inflizione di condanne ovvero anche la semplice pendenza di eventuali procedimenti giudiziari a carico della società e/o dei propri rappresentanti" non costituisce base giuridica idonea a legittimare il trattamento di dati giudiziari.

Violazione principio di accountability

[Torna su]

Al termine del procedimento - per aver violato il principio di accountability in quanto ha male organizzato la gestione del trattamento dei dati personali dei dipendenti, tanto da non poter evitare una fuga di notizie, e per aver richiesto dati personali di tipo giudiziario senza che vi fosse una legittima base giuridica - la società è stata condannata alla sanzione amministrativa di 40 mila euro, da pagarsi entro 30 giorni dalla data di emissione del provvedimento.

G. L. Rabita

Presidente della Leonardo Intelligence

Tenente dei Carabinieri in congedo

A. Pedicone

Consigliere per gli Studi Legislativi - Leonardo Intelligence

Analista di intelligence internazionale

Leonardo Intelligence

Comitato per gli Studi legislativi

Via Fasana 28, 00195 Roma

www.leonardointelligence.it - info@leonardointelligence.it


Foto: 123rf.com
In evidenza oggi: