Dati sanitari online, ordinanza di ingiunzione al Comune

La decisione del Garante della privacy dopo il reclamo di una dipendente: “I dati relativi alla salute non possono essere diffusi”

Il Garante della privacy ha predisposto un provvedimento di ordinanza di ingiunzione nei confronti del Comune di Urago d’Oglio, nel bresciano (3.700 abitanti), per aver diffuso dati e informazioni personali sulla salute di una dipendente, in violazione del divieto di diffusione dei dati sulla salute.

L’attività istruttoria dell’Autorità garante era scattata a seguito del reclamo della stessa lavoratrice che aveva lamentato la pubblicazione, sul sito web istituzionale del Comune di Urago d’Oglio, del documento n. XX (denominato “XX”) e del testo integrale della sentenza n. XX (RG n. XX), al cui interno erano presenti dati personali, anche relativi alla salute.

Va detto che tra l’amministrazione e la dipendente erano già in atto altre controversie e contenziosi riportati in più occasioni (attraverso interviste rilasciate dalla donna) su un settimanale locale. Tutto ciò aveva inasprito ulteriormente  i rapporti tra le due parti.

L’indagine del Garante ha confermato quanto riferito dalla donna. L’Autorità ha tenuto ad evidenziare come “la disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali  dei dipendenti, se il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”. “Più specificamente, i datori di lavoro pubblici possono trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati e relativi alla salute, per adempiere a specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro mediante il personale “autorizzato” e debitamente “istruito” in merito all’accesso ai dati. Il titolare del trattamento è tenuto, inoltre, a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di ‘minimizzazione’, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. In ogni caso, i dati relativi alla salute, ossia quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, in ragione della particolare delicatezza di tale categoria di dati, non possono essere diffusi”.

Il Garante della privacy ha quindi ordinato al Comune, in persona del legale rappresentante pro-tempore, di pagare la somma di 4 mila euro a titolo di sanzione amministrativa pecuniaria. Inoltre ha predisposto il pagamento da parte dello stesso Comune della somma di 4 mila euro nel caso di mancata definizione della controversia con la dipendente.

FONTE:
garanteprivacy.it