La disciplina di protezione dei dati personali prevede che i soggetti pubblici e privati, qualora operino come datori di lavoro, possono trattare i dati personali dei lavoratori se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (cfr. art. 6.1.e del GDPR).
L’operazione di “comunicazione” di dati personali dei dipendenti è ammessa solo quando prevista da una norma di legge. Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del GDPR) e deve trattare i dati mediante il personale “autorizzato” e “istruito” (artt. 4.10, 29, e 32 §4, del GDPR).
Capita a volte che le aziende (ma anche la PA, gli studi professionali o le piccole ditte) non rispettino i limiti e le regole sulla protezione dei dati personali dei dipendenti, non solo verso l’esterno ma anche all’interno dei propri uffici.
È quel che è successo, per esempio, ad una scuola, il Liceo “Isabella Gonzaga” di Chieti, che ha inserito nel proprio registro elettronico il nominativo di una dipendente col riferimento alla fruizione dei benefici della legge 104 e, in particolare, con l’indicazione “legge 104, non grave”.
La pubblicazione è avvenuta sul registro elettronico, nella parte accessibile ai soli docenti, nel documento che riportava l’orario scolastico definitivo. Si è trattato di un errore tecnico: anziché inserire il file “semplificato”, privo di dati sensibili, la segreteria dell’Istituto ha pubblicato la versione “estesa” del file destinata al solo uso interno. Lo stesso file conteneva anche dati personali di altri docenti nonché altre informazioni di dettaglio relative a vicende personali e familiari o legate allo specifico rapporto di lavoro di ciascuno (ed es. trasferimento, part-time, interdizione maternità, legge 104 non grave).
All’’Istituto è stata erogata la sanzione di € 2.500, oltre alla pubblicazione del Provvedimento.
Come chiarito tradizionalmente dal Garante, i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato.
I dati relativa alla salute dei dipendenti, inoltre, godono di particolari e specifiche tutele e non possono mai e in nessun caso essere pubblicati.
Ricordiamo che sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”. Come più volte chiarito dal Garante, anche il riferimento alla legge 104 – che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari – consente di ricavare informazioni sullo stato di salute di una persona (Cfr. doc. web n. 9434609 sul sito dell’Autorità Garante).
Anche lo stato di gravidanza, sebbene non sia idoneo a rivelare le condizioni di salute dell’interessata, è considerato un dato sulla salute in quanto si può riferire a “gravi complicanze della gravidanza o [a] persistenti forme morbose che si presume possano essere aggravate dallo stato di gravidanza”, fattispecie in relazione alla quale i competenti uffici della Direzione Provinciale del Lavoro e della Asl “dispongono […] l’interdizione dal lavoro delle lavoratrici in stato di gravidanza fino al periodo di astensione [c.d. obbligatoria]”.