Privacy: la diffusione dei dati relativi alla salute del dipendente

 
Garant de la protection des données personnelles: Ordinanza ingiunzione nei confronti di Consorzio di Bonifica dell’Oristanese – 16 Septembre 2021 (link al provvedimento)
Fatti
Nel caso in esame, il Garante ha adottato un’ordinanza ingiunzione nei confronti del Consorzio di bonifica dell’oristanese a fronte di un reclamo in cui l’istante ha riportato che sul sito web del Consorzio era stato pubblicato un provvedimento disciplinare nei confronti di una sua dipendente, contenente informazioni relative allo stato di salute della stessa. Inoltre, la reclamante rilevava che il provvedimento stesso era reperibile, non solo sul sito web, ma anche direttamente dal motore di ricerca Google.
La reclamante aveva presentato richiesta al Consorzio affinché lo stesso provvedesse alla rimozione del documento, il quale, provvedeva tempestivamente a porre rimedio alla situazione creatasi a danno della reclamante rimuovendo la delibera dal proprio sito web.
Le memorie difensive del consorzio
A fronte del reclamo pervenuto, il Garante ha avviato un’attività istruttoria per accertare la presunta violazione degli artt. 5, par 1, letton. une) e c), 6, paragrafo 1, letton. c) ed e), 2 e 3, letton. b) del GDPR, nonché degli artt. 2-avoir, paragraphes 1 e 3 e 2-septies, virgule 8 del Codice Privacy ed ha intimato al Consorzio di fare pervenire i propri scritti difensivi in merito. All’interno delle memorie presentate dal Consorzio, le dernier:
(je) premier, ha sostenuto di essere totalmente consapevole della disciplina in materia di privacy, la quale prevede un termine di 15 journées, oltre il quale è obbligatorio intervenire per procedere alla rimozione dei documenti contenenti dati ed informazioni personali; Toutefois, l’ufficio addetto a tali attività non aveva provveduto alla rimozione a causa di una mera dimenticanza.
(ii) In secondo luogo, ha rilevato che, a fronte della richiesta della parte istante, l’Ufficio addetto aveva prontamente provveduto a rimuovere il provvedimento dal sito web.
(iii) Enfin, ha precisato che, con riferimento ai dati personali idonei a rivelare informazioni sullo stato di salute, i riferimenti ivi contenuti erano del tutto generici, ossia tali da non rivelare dettagli, neppure indirettamente, sulle condizioni psico-fisiche dell’interessata. En particulier, il Consorzio ha sostenuto che si trattava di riferimenti finalizzati a motivare l’adozione del provvedimento stesso in relazione ai comportamenti della reclamante avuti sul luogo di lavoro (en particulier, che la stessa non si recava sul luogo di lavoro per motivi di salute e per motivi di famiglia).
Le valutazioni del Garante
Innanzitutto, il Garante ha correttamente specificato che, come nel caso di specie, i dati personali dei lavoratori possono essere trattati da parte dei titolari solo nel caso in cui gli stessi siano necessari per adempiere obblighi o compiti previsti dalla disciplina di settore ovvero se necessari per la gestione del rapporto di lavoro, come previsto dagli artt. 6, par. 1, letton. c) ed e); 9, par. 2, letton. b) e par. 4; 88 del GDPR. Inoltre, l’art. 2-ter del Codice privacy dispone che l’operazione di diffusione (nel caso di nostra attenzione, la diffusione si è realizzata attraverso la pubblicazione online) da parte di soggetti pubblici è ammessa solo se prevista da specifica norma di legge o regolamento.
A ciò, viene aggiunto dall’Ufficio che i dati personali riguardanti lo stato di salute dell’interessato non possono essere in alcun modo diffusi: ciò in ragione della delicatezza delle informazioni a riguardo.
Il Garante ha inoltre ribadito che l’attività di trattamento deve sempre essere svolta in conformità alle previsioni dell’art. 5 del GDPR: ossia in conformità ai principi di liceità, trasparenza e correttezza e in conformità al principio di minimizzazione dei dati, in base al quale il trattamento dei dati deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 €
acheter

son www.maggiolieditore.it –>

Le violazioni
A fronte delle memorie difensive del Consorzio nelle quali lo stesso aveva riportato che i dati personali contenuti nel provvedimento sulla salute dell’interessata erano generici, il Garante ha contestato che, alla luce della disciplina, nella nozione di dato personale relativo alla salute vi rientra anche il mero riferimento a qualsiasi informazione da cui si possa desumere, anche indirettamente, l’esistenza di malattie o di patologie dei soggetti interessati.
Alla luce di ciò, il solo riferimento a “problemi di salute e di famiglia” sarebbe stato idoneo a determinare una violazione della disciplina in materia di trattamento e diffusione dei dati personali.
Il Garante ha quindi ritenuto che l’attività del Consorzio descritta in precedenza ha determinato una diffusione illecita dei dati personali relativi alla salute della dipendente, cui era diretto il provvedimento disciplinare, sostanziando una violazione degli artt. 5, 6 e 9 del GDPR e 2-ter e 2-septies del Codice privacy,.
En particulier, detta pubblicazione sul sito web aziendale del provvedimento disciplinare contenente il riferimento ai “problemi di salute e di famiglia” della dipendente ha violato:
(je) l’art. 5 GDPR, il quale dispone che il trattamento dei dati deve essere attuato in conformità ai principi indicati nell’articolo medesimo, tra cui il principio di trasparenza, di minimizzazione, di liceità e correttezza dei dati;
(ii) l’art. 6 GDPR, il quale dispone che affinché un trattamento possa essere lecito, deve essere fondato sul consenso dell’interessato o su altra base giuridica idonea a legittimare tale attività;
(iii) l’Art. 9 GDPR, il quale vieta il trattamento di categorie particolari di dati personali quali, juste, i dati relativi allo stato di salute, salvo che il trattamento e la diffusione di questi non rientrino in uno dei casi eccezionali previsti dal secondo paragrafo.
Alla luce dell’attività istruttoria, degli elementi che ne sono emersi e degli accertamenti effettuati, il Garante ha quindi ritenuto che il Consorzio, non solo non ha provato l’esistenza di alcuna previsione normativa che legittimasse la diffusione dei dati relativi alla salute dell’interessata, ma ha anche ritenuto che la pubblicazione online del provvedimento si è protratta oltre il termine di 15 giorni previsto dalla normativa di settore, alla scadenza del quale il documento contenente i dati personali avrebbe dovuto essere rimosso.
Le sanzioni irrogate
In considerazione di quanto sopra, il Garante ha irrogato la sanzione amministrativa pecuniaria (oltre alla sanzione accessoria di pubblicazione del provvedimento sul sito web) di euro 5.000 nei confronti del Consorzio, poiché ha accertato la violazione della normativa in materia di trattamento dei dati personali come sopra descritta.
Volume recommandé

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Editeur Maggs
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad

32,00 € 30,40 €
acheter

son www.maggiolieditore.it –>

Devenez auteur de Diritto.it
En savoir plus!

Vous pourriez aussi être intéressé

E-commerce e cybersecurity: regole comunitarie e nazionali a tutela della sicurezza

par la rédaction
19 mars 2021

Certificazioni verdi: via libera del Garante, con adeguate garanzie

di Luca Iadecola
16 juin 2021

Dopo la cessazione del rapporto di lavoro, il datore è obbligato a disattivare l’account di posta elettronica aziendale riconducibile all’ex dipendente

di MuiaPier Paolo
10 Janvier 2020

Al medico è consentito l’accesso alle cartelle cliniche, con i nominativi dei pazienti oscurati, se le informazioni mediche ivi presenti gli servono per tutelare la sua reputazione professionale

di MuiaPier Paolo
24 Janvier 2020

The post Privacy: la diffusione dei dati relativi alla salute del dipendente appeared first on Diritto.it.
La source: Diritto.it