Data protection

Il datore di lavoro non può contattare il medico di famiglia del dipendente.

Il caso.

Con Provvedimento n. 676 del 13 novembre 2024 il Garante per la protezione dei dati (di seguito, “Garante”) ha risposto ad un reclamo con il quale una Sig.ra lamentava presunte violazioni del regolamento UE 2016/679 (di seguito, “Regolamento”) da parte del proprio datore di lavoro, con riferimento al trattamento di dati personali relativi al suo stato di salute.

In particolare, è stato lamentato che il datore di lavoro aveva contattato telefonicamente il medico di medicina generale della reclamante, circostanza resa nota dal medesimo rappresentante legale della Società, ad una organizzazione sindacale che aveva chiesto alcuni chiarimenti su incarico della reclamante stessa.

La reclamante ha pertanto chiesto l’intervento dell’Autorità ritenendo che la comunicazione telefonica del datore di lavoro con il medico che aveva redatto certificazioni per la reclamante fosse avvenuta in violazione del Regolamento e del Codice.

L’istruttoria del Garante

L’Autorità ha rilevato che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

Nel merito, è emerso che la Società ha ricevuto, una e-mail della reclamante con la quale, tra l’altro, contestualmente all’invio di un certificato di malattia, la stessa ha richiesto “una visita [del] medico del lavoro consigliata” dal proprio medico di medicina generale.

Tale richiesta è stata ripresentata alla Società, tramite comunicazione via Pec inviata da una organizzazione sindacale, su mandato della reclamante.

In base a tali riferimenti, spontaneamente forniti dal datore di lavoro all’organizzazione sindacale, si evince che la comunicazione telefonica ha riguardato non solo la provenienza della richiesta di visita con il medico competente, ma anche “le richieste di sospensione dal lavoro”, ossia le richieste di certificazione di malattia redatte dallo stesso MMG, nonché le “cure e le indicazioni” prescritte alla reclamante, in relazione al proprio stato di salute dal MMG.

Anche facendo riferimento a quanto dedotto in proposito dalla Società nelle memorie difensive, pur prendendo atto della “totale buona fede” che avrebbe connotato la condotta oggetto di reclamo, tuttavia si rileva che la Società stessa conferma che il contatto diretto, cercato dal datore di lavoro, non solo è stato “superfluo”, come dichiarato, rispetto a quanto disposto dalla disciplina posta in materia di sorveglianza sanitaria, bensì anche illecito, in quanto le legittime esigenze di organizzazione e pianificazione dei turni di servizio non possono incidere sulla tutela della salute del dipendente garantita dall’ordinamento proprio dall’operato di personale medico tenuto a valutare esclusivamente tale profilo, in base alle proprie competenze professionali.

Ciò, ovviamente, fatta salva la possibilità, per il datore di lavoro, di attivare gli specifici rimedi previsti per l’eventuale verifica della veridicità delle certificazioni mediche.

Nel quadro normativo vigente, ai sensi dell’art. 5, della L. 20/05/1970, n. 300, “Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Il controllo delle assenze per infermità può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, i quali sono tenuti a compierlo quando il datore di lavoro lo richieda”.

Inoltre, anche al fine di impedire che il datore di lavoro apprenda informazioni non necessarie per la valutazione dell’attitudine professionale del lavoratore, l’attività di sorveglianza sanitaria preordinata alla protezione della salute e della sicurezza dei luoghi di lavoro, deve essere svolta avvalendosi del medico competente che è l’unico soggetto legittimato a trattare, in piena autonomia e competenza tecnica, i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro.

Ciò in quanto le informazioni relative, in particolare, alla diagnosi o all’anamnesi familiare del lavoratore non possono essere in alcun modo trattate dal datore di lavoro, il quale deve invece limitarsi a conoscere il mero giudizio sintetico di idoneità (se del caso con prescrizioni, oppure di inidoneità) alla mansione specifica formulato dal medico competente.[1]

Con riguardo alla richiesta di visita rivolta al datore di lavoro dalla reclamante, si osserva che l’art. 41, D. Lgs. n. 81/2008, stabilisce che la sorveglianza sanitaria effettuata dal medico competente comprende la “visita medica su richiesta del lavoratore, qualora sia ritenuta dal medico competente correlata ai rischi professionali o alle sue condizioni di salute, suscettibili di peggioramento a causa dell’attività lavorativa svolta, al fine di esprimere il giudizio di idoneità alla mansione specifica” (art. 41, co. 1, lett. b) e co. 2, lett. c), D. Lgs. 81/2008).

In base a quanto previsto dalla richiamata norma di settore, anche il lavoratore può richiedere la visita con il medico competente, con conseguente irrilevanza del fatto che tale richiesta sia stata concordata e/o consigliata, o meno, dal MMG.

Le richiamate disposizioni di settore devono essere osservate dal titolare del trattamento in base al principio generale di liceità dei trattamenti di dati personali posto dall’art. 5, par. 1, lett. a) del Regolamento.

La comunicazione ritenuta dalla stessa Società “superflua” è avvenuta altresì in violazione del principio generale di minimizzazione in base al quale i dati devo essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati” (art. 5, par. 1, lett. c) del Regolamento).

Tantomeno tale comunicazione, e il relativo trattamento di dati personali, risultano necessari “per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate” (art. 9, par. 2, lett. b) del Regolamento), che costituisce la condizione di liceità per il trattamento di dati riferiti allo stato di salute.

La Società pertanto, nei termini sopra descritti, ha violato quanto stabilito dagli artt. 5, par. 1, lett. a) (principio di liceità dei trattamenti) e c) (principio di minimizzazione), 6 e 9 (condizioni di liceità del trattamento di dati comuni e particolari) del Regolamento anche alla luce di quanto prescritto dalla disciplina di settore in materia di tutela della salute e della sicurezza nei luoghi di lavoro (D. Lgs. 9/4/2008, n. 81) e di accertamenti sanitari sullo stato del dipendente (art. 5, l. 20/5/1970, n. 300).

Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che il trattamento dei dati personali effettuato dalla Società e segnatamente l’inosservanza del principio di liceità in relazione a discipline di settore applicabili in materia lavoristica e delle specifiche condizioni di liceità del trattamento di dati comuni e particolari, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto:

  •  della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento,
  • della gravità della violazione stessa,
  • del grado di responsabilità e
  • della maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha anche preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l’autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Pertanto, ha adottato l’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83 del regolamento.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali e condizioni di liceità del trattamento); in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato il trattamento di dati anche particolari riferiti alle condizioni di salute dell’interessata;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato la sola reclamante.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al bilancio d’esercizio per l’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Società la sanzione amministrativa del pagamento di una somma pari ad euro 6.000 (seimila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Istruzioni per i titolari del trattamento.

Dal provvedimento del Garante le aziende devono trarre le seguenti considerazioni:

  1. nel trattamento dei dati personali del lavoratore occorre differenziare i dati personali comuni da quelli appartenenti a categorie particolari (art. 9 del regolamento) e a quelli relativi a condanne penali e reati (art. 10 del Regolamento);
  2. la base giuridica del legittimo interesse del titolare del trattamento non vale per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti:
  3. premesso che per determinati trattamenti il titolare (ci si riferisce alle aziende e non agli enti pubblici) può invocare, come condizione di liceità, il perseguimento del legittimo interesse proprio o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, tenuto conto delle ragionevoli aspettative nutrite da quest’ultimo in base alla sua relazione con il titolare del trattamento Il bilanciamento tra il legittimo interesse del titolare (datore di lavoro) e il diritto dei lavoratori alla riservatezza, deve essere attentamente compiuto dal titolare, anche alla luce della normativa a corollario della fattispecie; in questo caso si fa riferimento alla Legge 20/05/1970, n. 300 e al decreto Legislativo n. 81/2008.

[1] Cfr. art. 25, D. Lgs. 9/4/2008, n. 81, “Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro”; sul punto si vedano anche i documenti adottati in materia dall’Autorità: Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, in www. garanteprivacy.it, doc. web n. 1364939, spec. punto 6 e “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

software gestionale
cybersicurezza

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

cervello-computer
L’analisi dei rischi associati alle tecnologie di interfaccia cervello-computer. Da uno studio coordinato dalla Yale University.
8 Maggio 2025
pnrr
Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23 | Mousse
29 Gennaio 2025
sicurezza dei dati personali
Gli obblighi riguardanti la messa in sicurezza dei dati personali trattati al verificarsi di accessi fisici non autorizzati.
30 Ottobre 2024

Start typing and press Enter to search