Dettaglio news
Sanzione ad un Comune per aver pubblicato dati sanitari di una dipendente


lunedì 9 marzo 2020
di Avv.Gianni Dell'Aiuto



Il piccolo comune di Urago d’Ognio, nel bresciano, è stato sanzionato di quattromila euro dal Garante per la Privacy con un recente provvedimento, in quanto responsabile di illecito trattamento dei dati personali di una dipendente, avendo pubblicato sul sito istituzionale il testo integrale di una sentenza tra la stessa dipendente ed il comune che, tra l’altro, conteneva dati relativi alla salute. La decisione è degna di alcune osservazioni per le motivazioni adottate e che probabilmente saranno vagliate in sede di ricorso, ma che offrono un quadro ben chiaro dell’orientamento del Garante e offrono spunti di riflessione.

La vicenda può essere così sintetizzata. A seguito di una vicenda giudiziaria, il Comune pubblicava sul sito istituzionale la sentenza che vedeva protagonisti il Comune stesso e la dipendente. Quest’ultima proponeva reclamo al Garante e la difesa del Comune si fondava, tra l’altro, sulla notorietà della vicenda, che era giunta anche sui giornali locali, sull’intenzione dell’amministrazione, verosimilmente vincente, di riscattare la propria immagine, nonché al fine di rendere pubblico un documento che, di per sé, è pubblico. Infine la dipendente mai si era rivolta al Comune per far rimuovere o oscurare la sentenza o richiesto danni. In ogni caso la sentenza veniva rimossa così come i dati personali della dipendente.

Dall’istruttoria peraltro emergeva come la pubblicazione anche di patologie della dipendente fosse avvenuta senza il dovuto rispetto dei principi di liceità, correttezza e minimizzazione richiesti dal GDPR, nonché senza la sussistenza di un presupposto normativo ai sensi sia del Regolamento, sia del D. LGS. 196/2003 nella sua attuale formulazione. Sul punto il Comune ha tenuto a ribadire la propria buona fede anche a causa del silenzio dell’interessata, da cui aveva dedotto un implicito consenso. Argomentazioni meritevoli di considerazione, le ha definite il Garante, ma insufficienti.

Nella motivazione del suo provvedimento il Garante ha posto in evidenza come i soggetti pubblici che operino come datori di lavoro possono trattare i dati personali dei dipendenti se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” ovvero "per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

In particolare i datori di lavoro pubblici possono trattare i dati personali dei lavoratori, anche quelli relativi alla salute, per adempiere a specifici obblighi mediante personale “autorizzato” e debitamente “istruito". Tutto ciò, però, nel rispetto dei principi di liceità, correttezza, trasparenza e “minimizzazione”. Proprio al principio di minimizzazione ha poi fatto riferimento il Garante rilevando come, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere dati eccedenti o non pertinenti e, in ogni caso, i dati relativi alla salute, non possono essere diffusi.

Particolare interesse detta il successivo punto della motivazione dove si rileva che, seppure la violazione fosse iniziata nel 2017, questa era cessata dopo l’entrata in vigore del GDPR. Pertanto, considerata la natura permanente dell’illecito, di natura omissiva, alla vicenda deve essere applicata la disciplina individuata con riferimento a quella vigente alla data di perfezionamento della fattispecie, ravvisata nel momento della cessazione della condotta. Ergo in vigenza del GDPR. Nessun pregio è stato dato alla difesa del comune laddove invocava un presunto consenso da parte della dipendente, mai espresso, né alla volontà di tutelare la propria immagine; attività quest’ultima che poteva essere fatta mediante altri canali.

Accertata quindi l’illiceità del comportamento del Comune, non potendo più adottare provvedimenti correttivi, stante la rimozione della sentenza, il Garante ha erogato una sanzione di € 4.000,00 ben al di sotto della somma di € 20.000,00 prevista come minimo dal GDPR, operando una accurata valutazione di merito sulle dimensioni del piccolo comune nel Bresciano ed il suo comportamento comunque collaborativo, oltre a disporre la pubblicazione della sentenza sul sito del Garante stesso.




CONDIVIDI QUESTA PAGINA!