La comunicazione di dati personali di un lavoratore a un suo collega non autorizzato costituisce trattamento illecito dei dati.

Lo ha recentemente ribadito il Garante per la Protezione dei dati personali con provvedimento del 19 dicembre 2024.

Il caso

La vicenda che ha offerto lo spunto per la pronuncia è accaduta all’interno di un ospedale privato, ove il responsabile della gestione del personale, al fine di concordare la pianificazione delle presenze nel periodo estivo, ha trasmesso una nota e-mail contestualmente a due impiegate, rendendo noto all’una che l’altra usufruiva delle agevolazioni previste dalla legge 5 febbraio 1992, n. 104.

L’impiegata interessata, quindi, in data 14 agosto 2023 ha presentato reclamo al Garante lamentando una presunta violazione della normativa in materia di protezione dei dati personali.

La difesa dell’incolpata

La società presso la quale la dipendente prestava attività lavorativa, pur riconoscendo il difetto di comunicazione da parte del responsabile del personale per aver fatto esplicito riferimento alle assenze ex L. 104/92 della reclamante, si è difesa sostenendo che:

• la comunicazione, che presentava carattere “estremamente colloquiale”, era stata trasmessa in ragione della necessità “di ridistribuire le presenze delle due impiegate […] in modo tale da garantire la copertura dell’Ufficio nella parte centrale del mese estivo, tenuto conto delle rispettive necessita e disponibilità”;
• il dato relativo all’assenza ex L. 104/92 era stato condiviso solo con una collega che era già a conoscenza dell’informazione, in quanto il dato era già stato condiviso direttamente e ordinariamente dallo stesso soggetto interessato;
• la stessa reclamante aveva ulteriormente e spontaneamente condiviso anche la risposta confermativa dello spostamento dell’assenza, inoltrando la comunicazione in copia conoscenza alla collega e, comunque, aveva condiviso le informazioni relative alla fruizione dei permessi 104/92 con un numero più ampio (ed indeterminato) di persone, apponendo il calendario sulla propria scrivania, in luogo ben visibile a chiunque transitasse negli uffici amministrativi, con inequivocabile ed evidente annotazione dei giorni di fruizione di permessi ex L. 104/92.

Successivamente, a seguito dell’avvio da parte del Garante del procedimento per l’adozione di provvedimenti, sul presupposto che con la trasmissione dell’e-mail la società incolpata aveva dato luogo ad una “comunicazione” di informazioni che la collega della reclamate, in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione societaria, non aveva alcuna necessità di trattare (dovendo, quindi, considerarsi soggetto “terzo” ai sensi del Regolamento), ha aggiunto che:

• la condotta si era risolta in una circostanza unica, non vi erano precedenti e non si era più ripetuta;
• la condivisione delle informazioni era funzionale per concordare anche tra le due colleghe la migliore alternanza e disponibilità per la copertura dell’Ufficio secondo le rispettive disponibilità e/o gradimento;
• non sussisteva un danno effettivo (neppure di natura psicologica) per l’interessa, visto che le informazioni erano già nella piena conoscenza della collega (di stanza) della reclamante;
• la condotta del Responsabile, dovuta sicuramente ad una situazione di estrema familiarità nei rapporti tra colleghi, non era ascrivibile a dolo e/o colpa del Titolare il quale, pur avendo una struttura aziendale improntata su definiti livelli di compliance ed accountability, non disponeva oggettivamente di strumenti per controllare ogni singola azione dei propri sottoposti;
• vi era stata una immediata reazione di contenimento da parte della direzione aziendale che, per il tramite del proprio DPO, si era sollecitamente messa in contatto con la reclamante, aveva sollecitamente contattato il Responsabile per sensibilizzarlo in merito all’erroneità della condotta posta in essere e aveva sottoposto il medesimo ad un percorso formativo sulle principali tutele GDPR onde evitare il ripetersi della condotta.

Infine, in occasione dell’audizione, l’incolpata riconosceva che il rapporto di lavoro con la reclamante era incrinato in ragione di un forte dissidio tra il responsabile della struttura e la medesima, come fosse difficile mantenere riservata tale informazione componendosi la struttura di soli due dipendenti e che, comunque, intendeva inviare una comunicazione a tutto il personale dipendente in un’ottica di sensibilizzazione dello stesso, per prevenire analoghe violazioni.

Esito dell’attività istruttoria

Nell’istruire il reclamo, il garante ha ricordato che nell’ambito del rapporto di lavoro,

… il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 4; 88 del Regolamento; 2-ter del Codice). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. e), e 9 del Regolamento; 2-ter e 2-sexies del Codice).

Tuttavia, essendo il datore di lavoro, quale titolare del trattamento, tenuto in ogni caso a rispettare i principi in materia di protezione dei dati (artt. 5 e 25 del Regolamento), i dati personali dei dipendenti non possono, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento nonché art. 2-quaterdecies del Codice).

Ciò in quanto il trattamento dei dati da parte di soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” (in quanto in ragione delle funzioni esercitate non hanno ragione di esserlo), può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati sprovvista di un’idonea base giuridica.

Il datore di lavoro deve, pertanto, limitare l’accesso ai dati personali dei dipendenti solo a coloro che effettivamente ne abbiano necessità per lo svolgimento delle proprie funzioni ed evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati.

Il garante ha anche ricordato che “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)”.

Vendendo al caso di specie, quindi, anche il solo riferimento (come già in precedenza chiarito) a corpi normativi che notoriamente sono riferiti a benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, come, appunto, la legge n. 104 del 1992, può rivelare informazioni sullo stato di salute di una persona.

Conseguentemente, la trasmissione della e-mail ha determinato, per quanto in un contesto caratterizzato da familiarità nei rapporti, un trattamento dei dati in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice.

Sanzioni

Il Garante, pur riconoscendole meritevoli di considerazione, ha ritenuto le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria insufficienti a consentire l’archiviazione del procedimento ed ha, quindi, confermato la contestata illiceità del trattamento di dati personali effettuato dalla società incolpata, sul presupposto che

… la trasmissione dell’e-mail aveva dato luogo ad una “comunicazione” di informazioni relative alla fruizione da parte della reclamante dei benefici di cui alla legge n. 104/1992 ad una collega che, non avendo necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione della Società medesima, doveva considerarsi un soggetto “terzo” ai sensi dell’art. 4, par. 1, n. 10), del Regolamento, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice.

Il Garante, quindi, tenuto conto di tutte circostanze del caso (un unico destinatario della comunicazione – collega della reclamante – violazione di dati di un solo interessato, contesto caratterizzato da familiarità nei rapporti tra colleghi, carattere isolato della violazione, cooperazione della società), ha qualificato la violazione come “minore” ed ha ritenuto sufficiente ammonire il titolare del trattamento per le violazioni commesse ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).