𝗚𝗮𝗿𝗮𝗻𝘁𝗲 𝗣𝗿𝗶𝘃𝗮𝗰𝘆: 𝗦𝗮𝗻𝘇𝗶𝗼𝗻𝗲 𝗮 𝗠𝗲𝗱𝗶𝗰𝗼 𝗱𝗲𝗹 𝗹𝗮𝘃𝗼𝗿𝗼

Premessa

Il Garante per la protezione dei dati personali (di seguito, “Garante”) con un recente Provvedimento[1]

Ha deciso in merito ad un reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte del dott. .., in qualità di medico competente.

Il caso

Il reclamante lamentava un illecito trattamento di dati personali, da parte del Dott. …, medico competente e titolare del trattamento dei dati personali sanitari dei lavoratori del Distretto meridionale DIME/Viggiano di Eni Natural Resource presso la quale il reclamante svolgeva la sua prestazione lavorativa.

In particolare, dalla documentazione allegata al reclamo, emergeva che, il Medico del lavoro trasmetteva a Eni S.p.A. Upstream DIME, al Responsabile del personale Eni DIME XX, al RSSPP XX e alla specialista salute e igiene industriale XX, una relazione avente ad oggetto “Sintesi anamnestica del sig. XX” in cui venivano riportate informazioni sullo stato di salute del reclamante e le principali vicende mediche occorse nell’anno 2021.

L’Ufficio, pertanto, rivolgeva alla parte una richiesta di informazioni, ai sensi dell’art. 157 del Codice, volta a conoscere i presupposti di liceità di cui agli artt. 6 e 9 del Regolamento, alla base dell’avvenuta comunicazione di dati particolari del reclamante al datore di lavoro.

La parte forniva riscontro rappresentando che di non ritenere di aver diffuso informazioni relative a diagnosi e/o anamnesi familiare del Sig.XX. ma solo di aver prospettato lo stato d’ansia reattiva in cui versava il XX, che del resto era diffusa in buona parte della popolazione, negli anni 2020/2021, quale tragica conseguenza della pandemia dovuta al COVID-19”.

Non veniva fornita alcuna ulteriore informazione relativamente alle circostanze che avevano determinato la comunicazione delle informazioni personali a terzi e ai presupposti di liceità alla base del trattamento posto in essere.

Alla luce delle informazioni raccolte, l’Ufficio provvedeva a notificare alla parte, l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, per la violazione degli artt. 6 e 9 del Regolamento anche con riferimento alle specifiche discipline di settore applicabili, in particolare del d.lgs. n. 81/2008.

La parte, nonostante fosse stata informata dall’Ufficio della possibilità di produrre scritti difensivi o documenti in relazione al procedimento sanzionatorio a suo carico, non faceva pervenire alcuna documentazione al riguardo.

L’esito dell’istruttoria.

Ciò posto, all’esito dell’istruttoria svolta sulla base delle dichiarazioni rese e della documentazione prodotta in atti, risulta accertato che il Dott. …, in qualità di medico competente, nonché di titolare del trattamento ai sensi dell’art. 4, n. 2, del Regolamento, ha effettuato un trattamento di dati cd. particolari riferiti al reclamante che non è conforme alla disciplina in materia di protezione dei dati personali.

In particolare, è emerso che il Dott. …, rivestendo il ruolo di medico competente di Eni S.p.A. incaricato della sorveglianza sanitaria del reclamante, ha inviato una comunicazione ai responsabili della Società con cui li informava dello stato di salute del reclamante (dipendente di Eni S.p.A.) e delle indagini cliniche eseguite nel corso del 2021 anche dal medico competente nel frattempo subentrato.

Con riferimento al ruolo ricoperto dal medico competente, è necessario ricordare che questi è, per legge, l’unico legittimato a trattare in piena autonomia e competenza i dati personali di natura sanitaria dei lavoratori, laddove le informazioni relative a diagnosi e/o ad anamnesi del lavoratore non possono essere in alcun modo trattate dal datore di lavoro se non nella misura del mero giudizio di idoneità alla mansione specifica e delle prescrizioni che il professionista fissa come condizione di lavoro (art. 25, comma 1, lett. i) d.lgs. 81/2008 che prevede che il medico “comuni[chi] al datore di lavoro […] i risultati anonimi collettivi della sorveglianza sanitaria”).

In linea con quanto sopra enunciato, l’Autorità ha sottolineato il ruolo di autonomo titolare del trattamento del medico competente, che effettua i trattamenti volti a valutare l’idoneità alla mansione dei lavoratori per le finalità e nell’ambito di quanto indicato dalla legge di settore di cui al d.lgs. 81/2008[2]

Pertanto gli eventuali flussi di dati personali tra il datore di lavoro e il medico competente devono intendersi quali “comunicazioni” di dati personali (art. 2-ter, par. 4, lett. a) del Codice), i cui presupposti sono rinvenibili nel richiamato quadro normativo di settore. Con riferimento ai dati cd. particolari di cui all’art. 9, par. 1, del Regolamento, si evidenzia che il loro trattamento è consentito se “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria (…) sulla base del diritto dell’Unione o degli Stati membri (…)” (art. 9, par. 2, lett. h, del Regolamento).

Alla luce del quadro normativo sopra richiamato, resta dunque accertato che la comunicazione delle informazioni relative allo stato di salute del reclamante è avvenuta al difuori delle specifiche competenze e degli obblighi sanciti dalla normativa.

Conclusioni.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati cd. particolari effettuato dal medico competente, consistente specificamente nella comunicazione di dati relativi allo stato di salute al datore di lavoro, risulta illecito, in quanto avvenuto in assenza di un idoneo presupposto di liceità di cui agli artt. 6 e 9, par. 2, del Regolamento.

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie.

All’esito del procedimento risulta pertanto accertato che la parte ha violato gli artt. 6 e 9, par. 2, del Regolamento.

La violazione delle disposizioni richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a), del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

– con riferimento alla natura, gravità e durata della violazione, deve considerarsi rilevante la violazione in esame avendo riguardato la comunicazione a terzi di dati rientranti nella cd. categorie particolari e il livello di danno subito dall’interessato;

– il grado di responsabilità del titolare del trattamento che, nello svolgimento dei propri compiti, ha trattato i dati del reclamante, in assenza di idonei presupposti di liceità;

– le categorie dei dati interessati dalla violazione, rientranti nei dati cd. particolari;

– l’assenza di precedenti violazioni pertinenti commesse dal titolare;

– l’assenza di collaborazione da parte del professionista che, nel corso del procedimento, non ha fornito utili elementi di valutazione.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base all volume d’affari relativo al bilancio 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti del Medico Competente la sanzione amministrativa del pagamento di una somma pari a euro 2.000,00 (duemila).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i dati cd. particolari, della circostanza che la condotta è stata posta in essere da un soggetto che nello svolgimento dei propri compiti è venuto meno all’osservanza di specifiche disposizioni di settore oltre che di protezione dei dati personali.

[1] Registro dei provvedimenti n. 10 del 16 gennaio 2025; link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/print/10111106

[2] Si vedano a tal proposito i provvedimenti adottati dall’Autorità n. 194 del 27/04/2016 doc. web n. 5149198; n. 522 del 31/08/2023, doc web n. 9965614; con riguardo alla tenuta delle cartelle sanitarie e di rischio da parte del medico competente e alla diversa attività di tenuta e aggiornamento dei fascicoli personali dei dipendenti da parte del datore di lavoro il provvedimento recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro” del 23/11/2006, doc. web n. 1364939.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

𝗚𝗮𝗿𝗮𝗻𝘁𝗲 𝗣𝗿𝗶𝘃𝗮𝗰𝘆: 𝗦𝗮𝗻𝘇𝗶𝗼𝗻𝗲 𝗮 𝗠𝗲𝗱𝗶𝗰𝗼 𝗱𝗲𝗹 𝗹𝗮𝘃𝗼𝗿𝗼 | 𝗧𝗶𝘁𝗼𝗹𝗮𝗿𝗲 𝗱𝗲𝗹 𝘁𝗿𝗮𝘁𝘁𝗮𝗺𝗲𝗻𝘁𝗼

About Author / Davide De Luca

L’analisi dei rischi associati alle tecnologie di interfaccia cervello-computer. Da uno studio coordinato dalla Yale University.

CYBERSECURITY: favorire la sua consapevolezza per gestirne i rischi. Il tool fornito da ACN per le amministrazioni pubbliche.

Lascia un commento Annulla risposta