Interessante il provvedimento del Garante della Protezione dei Dati Personali n. 796 del 19 dicembre 2024 con cui ha sanzionato, con la misura dell’Ammonimento, una struttura sanitaria privata, con sede in Sardegna, per avere inviato una e-mail ad una propria dipendente e a una sua collega, al fine di concordare la pianificazione delle presenze nel periodo estivo, dando evidenza a quest’ultima della fruizione, da parte della prima, dei benefici previsti dalla legge n. 104/92, relativi all’assistenza di persone disabili.

La dipendente interessata ha presentato un reclamo al Garante, lamentando una violazione della normativa privacy.

Il Garante, esaminato il caso alla luce del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.Lgs. 196/2003) ha evidenziato che:

–       La trasmissione dell’e-mail ha costituito una “comunicazione illeciti di dati personali” in quanto ha resto nota una condizione protetta (l’accesso ai benefici della legge n. 104/92) a un soggetto non autorizzato;

–       Ai sensi dell’art. 4, n. 10, del GDPR, il collega che ha ricevuto l’informazione assume il ruolo di “terzo”, in quanto non era legittimato a trattare tali dati;

–       Il trattamento dei dati personali dei dipendenti, specialmente se rientranti nelle “categorie particolari di dati” (ex dati sensibili), ai sensi dell’art. 9 del GDPR, è consentita solo se è necessario per la gestione del rapporto di lavoro o per obblighi normativi;

–       Il datore di lavoro deve limitare l’accessibilità ai dati personali ai soli soggetti autorizzati, evitando riferimento espliciti o impliciti alle condizioni personali dei dipendenti.

Conseguentemente, il Garante ha riscontrato, nel caso esaminato, la violazione:

–       Dell’art. 5, par. 1, lett. a) del GDPR (sui principi di liceità, correttezza e trasparenza del trattamento);

–       Dell’art. 6 del GDPR (sulle condizioni di liceità del trattamento);

–       Dell’art. 9, par. 2, lett. b) del GDPR (sul trattamento di categorie particolari di dati nell’ambito del rapporto di lavoro);

–       Dell’art. 2-ter del D.Lgs. 196/2003 (sulla limitazione della comunicazione dei dati personali ai soggetti autorizzati)

e, accertata la illiceità del trattamento, ha “Ammonito” il datore di lavoro – titolare del trattamento – sottolineando che la necessità di organizzare le attività lavorative non giustifica la messa a conoscenza delle cause di assenza dei dipendenti e che anche la semplice menzione di beneficiare della legge 104/92 può costituire un trattamento illecito di dati sensibili. Inoltre, il datore di lavoro ha il dovere di adottare misure idonee ad evitare che i dati personali dei dipendenti siano resi noti a soggetti non autorizzati.

Per prevenire simili violazioni, il datore di lavoro deve formare il personale sulla protezione dei dati personali e sull’uso corretto degli strumenti informatici nonché sensibilizzarlo sulle possibili conseguenze della trasmissione illecita di dati. Deve, poi, definire chiaramente i soggetti autorizzati al trattamento dei dati.

Con detto provvedimento, quindi, il Garante ribadisce che la comunicazione illecita di dati personali all’interno dell’ambiente di lavoro costituisce violazione del GDPR. Il concetto di “terzo” si estende anche ai colleghi che non hanno necessità di trattare certi dati, con possibili responsabilità sanzionatorie nei confronti del titolare del trattamento dei dati.

20 febbraio 2025

Avv. Stefano Comellini