Provvedimento del 9 maggio 2024 [10025870]
Provvedimento del 9 maggio 2024 [10025870]
Condividi[doc. web n. 10025870]
Provvedimento del 9 maggio 2024
Registro dei provvedimenti
n. 270 del 9 maggio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la dott.ssa xx, dipendente dell’Azienda Ospedaliera Complesso Ospedaliero San Giovanni – Addolorata (di seguito, l’“Azienda”), ha lamentato di aver inviato in data XX un’email - contenente propri dati personali, anche relativi allo stato di salute, avendo indicato la sintomatologia sofferta - a un proprio superiore gerarchico e che quest’ultimo avrebbe risposto a tale e-mail inserendo tra i destinatari l’allora Direttore Generale dell’Azienda, che, ad avviso della reclamante, non avrebbe potuto venire a conoscenza dei dati personali in questione.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni del Garante (v. nota prot. n. XX del XX), l’Azienda, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:
“nessuna attività di trattamento con conoscibilità da parte di terzi estranei, né nella forma della comunicazione, né tantomeno della divulgazione […] ha avuto luogo nella specie: invero, la comunicazione di risposta del Direttore della U.O.C. - che il sistema telematico pone, come noto, in unione alla missiva originaria cui è data risposta - è stata rimessa per conoscenza al solo Direttore Generale, che è […] titolare del trattamento dei dati personali. Dunque, nessun dato personale è stato destinato alla conoscenza di soggetti diversi dal titolare […], mentre la conoscenza da parte del Direttore della U.O.C. è stata determinata dalla ostensione spontanea dell’interessata”;
“anche la comunicazione [della] reclamante non conteneva affatto la descrizione di una diagnosi medica e, dunque, l’enunciazione di un dato personale afferente alla qualificazione clinica di una propria condizione patologica, bensì soltanto la descrizione di un effetto fisico addotto quale impedimento della prestazione lavorativa, cioè un intenso dolore cervicale e brachiale, senza alcuna identificazione, enunciazione od ostensione, dunque, di dati diagnostici relativi alla condizione di salute dell’interessata”;
“la comunicazione di assenza dell’interessata e la conseguente prospettiva di copertura del turno mediante sostituzione da parte del Direttore della U.O.C. vennero doverosamente comunicate e partecipate [al] Direttore Generale, quale rappresentante legale dell’Azienda datrice di lavoro - del remittente e dell’interessata -, tenuto alle attività gestorie del rapporto [di lavoro] […], e quale preposto apicale all’organizzazione - anche per la garanzia di efficienza del servizio sanitario pubblico […] e, dunque, alla necessaria conoscenza delle ragioni e della possibile durata dell’impedimento e della soluzione prospettata, sia ai fini del vaglio e dell’eventuale diniego di approvazione in ordine alle modalità di copertura del turno cui l’interessata si dichiarava impossibilitata, sia in ordine all’eventuale valutazione di responsabilità del Direttore dell’U.O.C. per il caso in cui le modalità alternative di organizzazione del servizio avessero determinato alcuna diversione o menomazione della piena funzionalità, efficienza e sostenibilità del servizio medesimo, segnatamente e specialmente in termini di celerità degli interventi e di tempestività delle risposte diagnostiche per l’utenza e per le committenze mediche interne”;
“[…] la necessità di piena ed immediata conoscenza della vicenda da parte del Direttore Generale era vieppiù conclamata in ragione della prospettiva di svolgimento del turno proprio da parte del Direttore della U.O.C. […]”;
“né, del resto, nel rapporto di necessaria comunicazione interna con la Direzione Generale, il Direttore della U.O.C. disponeva di altro mezzo, diverso dalla partecipazione delle missive di interlocuzione con l’interessata, al fine di documentare con immediatezza e tempestività la ragione, la possibile durata e la modalità della temporanea riorganizzazione del servizio […]”;
“nessun’altra modalità di comunicazione interna, alternativa rispetto a quella utilizzata, era praticabile, atteso che il certificato medico è stato rimesso dalla reclamante, per sua stessa prospettazione e del resto legittimamente, nel corso della giornata di svolgimento del turno per cui si esigeva la sua sostituzione e, dunque, in un momento successivo a quello in cui si esigeva ed è stata effettivamente svolta la tempestiva comunicazione interna del responsabile di Unità alla Direzione Generale”.
Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per trattato i dati personali della reclamane, anche relativi allo stato di salute, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX (prot. n. XX), l’Azienda ha presentato una memoria difensiva, dichiarando, in particolare, che:
“la comunicazione di risposta del Direttore della U.O.C. […] è stata rimessa per conoscenza al Direttore Generale, che è […] [il] titolare del trattamento […] Dunque, non vi è stata alcuna destinazione alla conoscenza di soggetti diversi dal titolare del trattamento”;
“[…] la rimessione del dato, segnatamente mediante comunicazione o trasmissione, nella disponibilità del titolare del trattamento, ad opera di chi ne abbia ricevuto contezza per errore o per eccesso di dettaglio da parte dell'interessato, non costituisce trattamento illecito”;
“fattispecie rilevante, ai fini dell'applicazione della disciplina del trattamento dei dati personali e, a fortiori, del sistema sanzionatorio, è la comunicazione ad un soggetto diverso dal titolare del trattamento”;
“del resto e coerentemente, la persona che, nell'ambito della compagine in cui opera il titolare del trattamento, sia stata destinataria da parte dell'interessato della comunicazione di una notizia contenente dati personali e diretta, come nella specie, a detta compagine, obbligatoriamente ed opportunamente ne rimette la disponibilità al titolare del trattamento, proprio per consentire a questo di compiere le determinazioni di sua spettanza circa la qualificazione del dato personale e di gestirlo escludendone la conoscenza e la circolazione presso soggetti che non siano autorizzati ad assumerne contezza”;
il Direttore della U.O.C. non “avrebbe potuto e dovuto operare diversamente […] [poiché la] determinazione [in ordine al trattamento è] riservata al titolare del trattamento”;
“[…] neppure può plausibilmente prospettarsi […] che la comunicazione dell'interessata al dirigente dell'Unità Operativa fosse una missiva confidenziale. La comunicazione dell'interessata era intesa ex professo a provocare e consentire gli adempimenti funzionali alla riorganizzazione dell'attività del reparto, sicché ella non aveva alcun interesse né manifestava alcun intento acciocché la notizia del proprio impedimento fosse mantenuta riservata (rispetto alla conoscenza da parte del titolare del trattamento) e, anzi, ne dava comunicazione proprio perché si provvedesse alla sua sostituzione in servizio: sostituzione che, come noto, compete al dirigente del reparto organizzare e alla Direzione aziendale autorizzare, per quanto attiene agli adempimenti riguardanti l'esecuzione del rapporto di servizio”;
“non v'è dubbio che il dirigente non ricevesse la comunicazione uti amicus, ma che la comunicazione fosse invece destinata ad una articolazione aziendale”;
“in particolare, il fatto che nella comunicazione dell'interessata si professi lo svolgimento "nell'interesse del servizio" e "affinché tu possa trovare altre soluzioni per la mia sostituzione" rende del tutto palese, in ottica di seria ragionevolezza, che si tratti di una comunicazione di servizio e non certo di un messaggio confidenziale”;
in ogni caso nell’email in questione “non vi è riportata alcuna notizia che possa far desumere una precisa patologia e neppure uno stato di malattia, ma la sommaria e fugace descrizione di un sintomo del tutto aspecifico e ambiguo, inadatto a rappresentare una condizione soggettiva specifica, apprezzabilmente durevole e caratterizzante”;
“non rileva tanto il fatto che la comunicazione non contenesse una diagnosi, quanto la circostanza che l'idea di una patologia specifica che riguardasse l'interessata non se ne poteva neppure trarre”;
“la notizia riguarda la constatazione di una dolenzia, donde non è dato certo evincere la sussistenza di alcuno stato di malattia, né di una sintomatologia indicativa in tal senso”;
“la notizia di uno stato algico non costituisc[e] ex se una notizia neppure astratta di malattia o di una condizione soggettiva specifica che riguardi il modo di essere della persona interessata e che si configuri, dunque, quale dato personale e, tantomeno, quale dato sensibile”;
“l'autorizzazione di adempimenti sostitutivi per un'attività imminente (cioè per un turno incipiente poche ore dopo la comunicazione dell'interessata) e di rilevante impatto sull'utenza - trattandosi dell'apprestamento in continuità del suddetto servizio radiologico - già di per sé, non poteva non involgere il vaglio proprio del Direttore Generale”;
era infatti “necessario che la Direzione Generale esprimesse, se del caso, le proprie eventuali eccezioni circa la compatibilità dell'incombenza sostitutiva con le esigenze organizzative e gestionali generali e con i numerosi ed impegnativi compiti nella specie affidati, con riguardo soprattutto al periodo in esame e all'organizzazione dell'attività e dei dispositivi di radioprotezione, al Direttore della U.O.C.”;
“ovviamente, la determinazione del Direttore Generale, oltre ad essere necessaria, doveva essere assunta anche in tempo breve […] La prontezza della decisione e gli aspetti involti, oltre che la sempre preminente esigenza di garantire all'utenza la pienezza, la tempestività e il massimo livello qualitativo del servizio sanitario, non consentivano certo che il coinvolgimento del Direttore Generale avesse luogo solo all'esito della trasmissione della certificazione medica da parte dell'interessata e nei tempi consentiti, come noto, dalla normativa lavoristica”;
“il Direttore della U.O.C. non avrebbe avuto modo di riferire e documentare con la dovuta e necessaria tempestività l'urgente esigenza organizzativa alla Direzione Generale […] Né sarebbe stata utile (come sembra invece paradossalmente ipotizzarsi nella notificazione di violazione) la semplice relatio al Direttore circa l'impedimento dell'interessata: in primo luogo, non ne sarebbe risultata alcuna documentazione circa l'attuale necessità di sopperire al servizio in via sostitutiva; inoltre, una mera notizia non circostanziata non sarebbe stata sufficiente a consentire l'apprezzamento delle ragioni, della consistenza e della durata dell'esigenza di riorganizzazione sostitutiva da approvare”.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), l’Azienda ha dichiarato, in particolare, che:
“l’UOC in cui si sono verificati i fatti oggetti di reclamo è un’articolazione di rilevanti dimensioni e che svolge molteplici attività caratterizzate da elevata complessità”;
“in tale contesto, il Direttore dell’UOC - a cui il Direttore Generale aveva chiesto un supporto straordinario per la predisposizione della documentazione e delle attività necessarie per espletare la delega attribuitagli in materia di radioprotezione, viste le carenze emerse nella precedente gestione del servizio di Fisica Sanitaria - ha ritenuto di mettere tempestivamente a conoscenza il Direttore Generale dell’improvvisa assenza della reclamante, per far fronte all’urgente necessità di pianificare e organizzare tali attività, compatibilmente con i turni di lavoro nel reparto, data la disponibilità data del predetto Direttore dell’UOC a sostituire personalmente la reclamante, visti lo scarso preavviso con cui era stata comunicata l’assenza dal servizio”.
3. Esito dell’attività istruttoria.
In base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento; v. anche art. 2-ter del Codice).
Il datore di lavoro, in ogni caso, può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento).
Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Ciò premesso, si rileva che, come emerge dal reclamo e dalla documentazione ad esso allegata, con messaggio di posta elettronica del XX, inviato al proprio superiore gerarchico, ovvero al Direttore della U.O.C. di afferenza, la reclamante informava lo stesso di una propria condizione di salute incompatibile con lo svolgimento dell’attività lavorativa nel turno previsto per la giornata successiva, affinché si potessero “trovare altre soluzioni per la [sua] sostituzione”.
Nella medesima data, il predetto Direttore della U.O.C., nel rispondere a tale messaggio della reclamante, il cui testo veniva riportato integralmente, metteva in copia per conoscenza anche l’allora Direttore Generale dell’Azienda, dando allo stesso la propria disponibilità ad effettuare il turno e pregando la reclamante “nell’interesse del buon andamento di produrre certificazione medica secondo le modalità previste”. L’inoltro da parte del Direttore della U.O.C. del messaggio dell’interessata con le modalità sopra indicate ha, pertanto, messo il Direttore Generale a conoscenza delle ragioni addotte dalla reclamante per giustificare la propria indisponibilità a coprire il proprio turno lavorativo e, in particolare, dello stato di salute della stessa e dei dettagli relativi alla sintomatologia sofferta.
In via preliminare, deve ricordarsi che, nella cornice normativa del Regolamento e secondo il costante orientamento del Garante, nella nozione di dato personale relativo alla salute “può rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi” (v. provv.ti 23 marzo 2023, n. 84, doc. web n. 9888113; 15 dicembre 2022, n. 420, doc. web n. 9853429; 25 febbraio 2021, n. 68, doc. web n. 9567429; 7 maggio 2015, n. 269, doc. web n.4167648;10 ottobre 2013, doc. web n.2753605; 7 luglio 2004, doc. web n. 1068839 e 1068917; v. anche par. 8 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", adottate in vigenza del precedente quadro normativo in materia di protezione dei dati con provv. 14 giugno 2007, n. 23, doc. web n. 1417809).
Ciò in conformità al consolidato orientamento della Corte di Giustizia dell’Unione europea, secondo il quale “occorre dare all'espressione «dati relativi alla salute» […] un'interpretazione ampia tale da comprendere informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona”, avendo la Corte ricondotto a tale nozione anche l’informazione relativa una persona che si era “ferita ad un piede e [si trovava] in congedo parziale per malattia” (sent. C-101/01, Lindqvist, 6 novembre 2003, parr. 13 e 50). Un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” e di “dati sensibili” è, infatti, “suffragata dall’obiettivo della direttiva 95/46 e del [Regolamento] […], consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali che li riguardano” (sent. C-184/20, Vyriausioji tarnybinės etikos komisija, del 1° agosto 2022, par. 125), considerato che i trattamenti di tali particolari categorie di dati “possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali” (sent. C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41; cfr. cons. 51 del Regolamento, ai sensi del quale “meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”).
Anche nell’ordinamento nazionale, la giurisprudenza di legittimità ha affermato che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce (Cass. civ., sez. I, 8 agosto 2013, n. 18980; v. anche Cass. civ., sez. I, ord. 11 ottobre 2023, n. 28417, ove si afferma che “il semplice riferimento ad un'assenza dal lavoro "per malattia" costituisc[e] un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”).
Ciò implica che, contrariamente a quanto sostenuto dell’Azienda nelle proprie memorie difensive, anche l’informazione relativa alla sintomatologia che interessava la reclamante deve considerarsi quale un dato personale relativo allo stato di salute, nonostante la stessa non avesse indicato la specifica patologia cagionante i sintomi in questione.
Sotto altro profilo, deve osservarsi che, sin dal 2007, nell’adottare le citate "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", i cui principi sono da considerarsi tuttora validi, il Garante, richiamando la specifica normativa di settore applicabile, ha chiarito che il datore di lavoro può lecitamente trattare il dato personale relativo all’assenza per malattia dei dipendenti solo per le finalità e alle condizioni normativamente previste, senza poter, tuttavia, venire a conoscenza della diagnosi o, più in generale, di informazioni di dettaglio sullo stato di salute degli stessi (v., in particolare, il par. 8.2, ove si evidenzia che “riguardo al trattamento di dati idonei a rivelare lo stato di salute, la normativa sul rapporto di lavoro e le disposizioni contenute in contratti collettivi possono giustificare il trattamento dei dati relativi […] all´assenza dal servizio per malattia”, fermo restando che il datore di lavoro deve limitarsi a ricevere l’“apposita documentazione a giustificazione dell´assenza, consistente in un certificato medico contenente la sola indicazione dell´inizio e della durata presunta dell´infermità: c.d. "prognosi” […], non essendo “legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi”).
L’art. 55-septies, comma 2, del d.lgs. 30 marzo 2001, n. 165, prevede, infatti, che, in tutti i casi di assenza per malattia, la certificazione medica sia inviata per via telematica - direttamente dal medico o dalla struttura sanitaria che la rilascia - all'Istituto nazionale della previdenza sociale, secondo le modalità stabilite per la trasmissione telematica dei certificati medici nel settore privato dalla normativa vigente (v. d.P.C.M. di cui all’art. 50, comma 5-bis, del d.l. 30 settembre 2003, n. 269, convertito, con modificazioni, dalla l. 24 novembre 2003, n. 326, introdotto dall'art. 1, co. 810, della l. 27 dicembre 2006, n. 296), e che, a propria volta, l’Istituto rende immediatamente disponibili, con le medesime modalità, la predetta certificazione all'amministrazione interessata, in qualità di datore di lavoro.
Nelle predette Linee guida è stato, altresì, chiarito che anche “qualora il lavoratore produca documentazione medica recante anche l’indicazione della diagnosi insieme a quella della prognosi, l’amministrazione (salvi gli speciali casi eventualmente previsti nei termini sopra indicati) deve astenersi dall’utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice [, nel testo al tempo vigente,]) invitando anche il personale a non produrne altri con le medesime caratteristiche” (cfr. art. 2-decies del Codice, nel testo attualmente vigente).Tale principio è stato, da ultimo, ribadito dal Garante nella FAQ n. 12 in materia di "Trattamento di dati nel contesto scolastico nell’ambito dell’emergenza sanitaria" (in www.gpdp.it).
In tale quadro, in assenza di espresse previsioni normative, non è, pertanto, consentito al datore di lavoro raccogliere, direttamente dagli interessati o da altre fonti, dati personali relativi allo stato di salute del lavoratore. Qualora, come nel caso di specie, tale informazione sia venuta comunque a conoscenza del datore di lavoro, lo stesso deve astenersi dall’utilizzarla o dal farla circolare nell’ambiente lavorativo.
Nel caso oggetto di reclamo, l’interessata aveva spontaneamente comunicato a un proprio superiore gerarchico informazioni di dettaglio relative al proprio stato di salute, al fine di rappresentare la propria impossibilità a prestare l’attività lavorativa. Quest’ultimo avrebbe, pertanto, dovuto astenersi dall’utilizzare ulteriormente tali informazioni, invitando la lavoratrice a comunicare all’Amministrazione l’assenza per malattia secondo le specifiche procedure previste dalla legge, che, come sopra evidenziato, prevedono unicamente la trasmissione al datore di lavoro di documentazione attestante la sola prognosi.
Il Direttore della U.O.C. ha, invece, inoltrato il messaggio della reclamante in forma integrale, portando a conoscenza dell’allora Direttore Generale dall’Azienda tutte le informazioni ivi contenute, inclusi i sintomi sofferti dall’interessata.
Al riguardo, deve osservarsi che la legittima esigenza di organizzare con celerità i turni di lavoro in determinati contesti, come nel caso dei turni ospedalieri del personale sanitario, non può giustificare la circolazione di informazioni di dettaglio, relative alla specifica sintomatologia sofferta dei lavoratori, potendo essere perseguita la medesima finalità attraverso le sole informazioni necessarie, ovvero facendo riferimento alla mera assenza dal servizio dei lavoratori interessati.
Nel caso di specie, è stato, peraltro, inoltrato un messaggio di posta elettronica - forma di corrispondenza in generale assistita da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.) - che l’interessata, indipendentemente agli obblighi di formale comunicazione al datore di lavoro, che incombono in capo al lavoratore in caso di assenza per malattia, aveva “ritenuto opportuno” scrivere al proprio superiore per avvertirlo tempestivamente della propria “indisponibilità lavorativa per [il giorno seguente] affinché [potesse] trovare altre soluzioni per la [sua] sostituzione”. In tale contesto, la natura personale del messaggio si evince, oltre che dal registro confidenziale utilizzato, anche dalla circostanza che in tale messaggio erano contenute informazioni di dettaglio, non dovute nemmeno al datore di lavoro, in ordine alla specifica sintomatologia sofferta (v. l’email inviata dalla reclamante all’allora Direttore Generale, successivamente ai fatti oggetto di reclamo, in atti, per lamentare “che nella […] mail [aveva] indicato anche la patologia da cui er[a] afflitt[a] e pertanto la comunicazione non poteva che essere considerata dal [destinatario] come assolutamente riservata”).
L’inoltro del testo integrale di tale messaggio all’allora Direttore Generale dell’Azienda, oltre ad aver compromesso la legittima aspettativa di riservatezza della comunicazione rivolta al collega, non era, peraltro, necessario al fine di consentire all’amministrazione di assumere tutte le iniziative per riprogrammare i turni di lavoro. Nelle more dell’espletamento delle formalità previste dalla legge per la comunicazione da parte della reclamante dell’assenza per malattia, tramite il proprio medico di medicina generale, sarebbe stato, infatti, del tutto sufficiente informare le competenti funzioni aziendali in merito all’assenza della reclamante, senza specificare la causale della stessa, evitando così l’indebita e non necessaria circolazione di informazioni relative al proprio stato di salute.
Alla luce di tutte le considerazioni che precedono, deve concludersi che l’inoltro in forma integrale all’allora Direttore Generale dell’Azienda, da parte del superiore gerarchico della reclamante, di un messaggio di posta elettronica di quest’ultima, contenente informazioni relative al proprio stato di salute, non può considerare un trattamento necessario ai fini della gestione e organizzazione del lavoro, ponendosi in contrasto con gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per aver posto in essere operazioni di trattamento di personali, anche relativi allo stato di salute, non necessarie ai fini della gestione e organizzazione del lavoro, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice.
Ciò premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).
In particolare, tenuto conto che:
la violazione, nel caso di specie, ha riguardato i dati personali relativi a un solo interessato (cfr. art. 83, par. 2, lett. a), del Regolamento);
la violazione ha carattere colposo, atteso che, secondo quanto dichiarato dall’Azienda, il Direttore dell’U.O.C. ha agito in condizioni di urgenza e allo scopo di informare tempestivamente il vertice amministrativo dell’Azienda in merito alla sopravvenuta assenza della reclamante e alla necessità di riorganizzare i turni di lavoro (cfr. art. 83, par. 2, lett. b), del Regolamento);
non risultano precedenti violazioni pertinenti, rispetto al contesto oggetto di reclamo, commesse dell’Azienda (art. 83, par. 2, lett. e), del Regolamento);
l’Azienda ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018 (cfr., in senso analogo, provv.to 17 maggio 2023, n. 194).
Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire l’Azienda per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).
Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Azienda Ospedaliera Complesso Ospedaliero San Giovanni – Addolorata, in persona del legale rappresentante pro-tempore, con sede legale in Via dell'Amba Aradam, 9 - 00184 Roma, C.F. 04735061006, per violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Azienda Ospedaliera Complesso Ospedaliero San Giovanni – Addolorata, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice, come sopra descritto;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 maggio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
