[doc. web n. 10102504]

Provvedimento del 19 dicembre 2024

Registro dei provvedimenti
n. 796 del 19 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato in data 14 agosto 2023, la Sig.ra XX, impiegata presso la Mater Olbia S.p.a., nel lamentare una presunta violazione della normativa in materia di protezione dei dati personali, ha rappresentato che, in data 11 agosto 2022, il proprio responsabile, al fine di concordare la pianificazione delle presenze nel periodo estivo, avrebbe trasmesso una nota a mezzo e-mail alla reclamante stessa e ad una sua collega, dando evidenza a quest’ultima della fruizione, da parte della reclamante, delle agevolazioni previste dalla legge 5 febbraio 1992, n. 104. 

2. L’attività istruttoria

Nell’ambito dell’istruttoria, con nota del 9 maggio 2024, la Società ha dichiarato al riguardo, in particolare, che:

la predetta comunicazione, che presenta carattere “estremamente colloquiale”, è stata trasmessa in ragione della necessità “di ridistribuire le presenze delle due impiegate […] in modo tale da garantire la copertura dell’Ufficio nella parte centrale del mese estivo, tenuto conto delle rispettive necessita e disponibilità”;

“l’Azienda ha obbiettivamente riscontrato il difetto di comunicazione da parte del [responsabile della reclamante] laddove ha fatto esplicito riferimento alle assenze ex L. 104/92 della sig.ra XX nella mail condivisa anche con la [collega]”;

“il dato relativo all’assenza ex L. 104/92 è stato condiviso con un solo soggetto “terzo” […] che era già a conoscenza dell’informazione […] in quanto condiviso direttamente e ordinariamente dallo stesso soggetto interessato”;

“la stessa XX ha ulteriormente e spontaneamente condiviso anche la risposta confermativa dello spostamento dell’assenza, inoltrando la comunicazione in copia conoscenza alla collega”;

“il soggetto interessato ha altresì condiviso le informazioni relative alla fruizione dei permessi 104/92 con un numero più ampio (ed indeterminato) di persone, apponendo il calendario sulla propria scrivania, in luogo ben visibile a chiunque transitasse negli uffici amministrativi, con inequivocabile ed evidente annotazione dei giorni di fruizione di permessi ex L. 104/92”.

Con nota del 16 settembre 2024, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi nell’ambito dell’attività istruttoria, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che la trasmissione dell’e-mail sopra menzionata avesse dato luogo ad una “comunicazione” di informazioni relative alla fruizione dei benefici di cui alla legge n. 104/1992 da parte della reclamante ad una collega che, non avendo necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione della Società medesima, deve considerarsi un soggetto “terzo” ai sensi dell’art. 4, par. 1, n. 10), del Regolamento, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota dell’11 ottobre 2024, la Società ha presentato una memoria difensiva, dichiarando, in aggiunta a quanto già evidenziato con la predetta nota del 9 maggio 2024, che:

“la condotta si è risolta in una circostanza unica, in relazione alla quale non sono risultati essere emersi dei precedenti e che, maggiormente, non si è più ripetuta”;

“la condivisione delle informazioni era funzionale per concordare anche tra le due colleghe la migliore alternanza e disponibilità per la copertura dell'Ufficio secondo le rispettive disponibilità e/o gradimento”;

“nel caso di specie non si ritiene sussistere, inoltre, un danno effettivo (neppure di natura psicologica) per il soggetto interessato posto che la comunicazione ha avuto ad oggetto informazioni che, seppur afferenti a dati sensibili, erano già nella piena conoscenza della […] collega di stanza della reclamante”;

“la condotta del Responsabile [… della reclamante], dovuta sicuramente ad una situazione di estrema familiarità nei rapporti tra colleghi, non può essere ascrivibile a dolo e/o colpa del Titolare il quale, pur avendo una struttura aziendale improntata su definiti livelli di compliance ed accountability, non dispone oggettivamente di strumenti per controllare ogni singola azione dei propri sottoposti”;

“per contro deve evidenziarsi l'immediata reazione di contenimento posta in essere dalla Direzione aziendale la quale, infatti: per il tramite del proprio DPO si è sollecitamente messa in contatto con la Signora XX; ha sollecitamente contattato il Responsabile per sensibilizzarlo in merito all'erroneità della condotta posta in essere; ha sottoposto il medesimo ad un percorso formativo sulle principali tutele GDPR onde evitare il ripetersi della condotta”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 8 novembre 2024, la Società ha dichiarato, in particolare, che:

“il trattamento dei dati personali oggetto del reclamo è relativo ad un rapporto di colleganza incrinato in ragione di un forte dissidio tra il responsabile della struttura e la reclamante”;

“si segnala come sia difficile mantenere riservata tale informazione nei casi in cui, come nel caso di specie, la struttura si compone di soli due dipendenti”;

“la comunicazione lamentata dalla reclamante ha avuto come destinatario un unico soggetto”;

“la Società intende intraprendere un’ulteriore azione per prevenire analoghe violazioni, inviando una comunicazione a tutto il personale dipendente in un’ottica di sensibilizzazione dello stesso”.

3. Esito dell’attività istruttoria

Per quanto di rilevanza ai fini del caso di specie, si fa preliminarmente presente che, nell’ambito del rapporto di lavoro, il datore di lavoro può trattare i dati personali dei lavoratori, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 4; 88 del Regolamento; 2-ter del Codice). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. e), e 9 del Regolamento; 2-ter e 2-sexies del Codice).

Il datore di lavoro, quale titolare del trattamento, è tenuto in ogni caso a rispettare i principi in materia di protezione dei dati (artt. 5 e 25 del Regolamento).

In tale quadro, i dati personali dei dipendenti non possono, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento nonché art. 2-quaterdecies del Codice). Ciò in quanto, come affermato in molte occasioni e in diversi contesti dal Garante (cfr. provv. 1° giugno 2023, n. 223, doc. web n. 9916798; provv. 28 aprile 2022, n. 146, doc. web n. 9776406; provv. 11 febbraio 2021, n. 50, doc. web n. 9562866), la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica.

Al datore di lavoro è pertanto richiesto di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino per svolgere le funzioni esercitate all’interno dell’organizzazione del titolare e di ciascuna singola unità o struttura organizzativa nonché di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati. In tal senso, come chiarito dal Garante all’interno delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, le quali, sebbene adottate nel contesto del previgente quadro normativo in materia di protezione dei dati personali, forniscono indicazioni e orientamenti ancora validi, “il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale [… e deve] evitare, in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di volta in volta indispensabili, pertinenti e non eccedenti)” (cfr. spec. par. 5.1 delle predette Linee Guida).

Quanto al caso di specie, dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Ufficio, risulta accertato che il responsabile della reclamante, in servizio presso la Società, nel trasmettere, in data 11 agosto 2022, alla reclamante e ad una sua collega una nota a mezzo e-mail in ragione della necessità di concordare la pianificazione delle presenze nel periodo estivo, ha fatto esplicito riferimento alla fruizione da parte della reclamante delle agevolazioni previste dalla legge 5 febbraio 1992, n. 104.

Al riguardo, come affermato dal Garante in numerosi provvedimenti, preme evidenziare che anche il mero riferimento a corpi normativi che notoriamente sono riferiti a benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari - come, appunto, la legge n. 104 del 1992 “Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate” - può rivelare informazioni sullo stato di salute di una persona (provv. 11 gennaio 2023, n. 3 doc. web n. 9857610; provv. 27 aprile 2023, n. 168, doc. web n. 9896845; provv. 1° settembre 2022, n. 290 doc. web 9811361, provv. 28 aprile 2022, n. 150, doc. web n. 9777200 e provv. 28 maggio 2020, n. 92, doc. web n. 9434609).

Ciò chiarito, si fa presente che, diversamente da quanto sostenuto dalla Società, il fatto che la reclamante fosse solita esporre, per abitudine e utilità, sulla propria scrivania posta all’interno della propria stanza, condivisa con la collega, un calendario in cui segnava le proprie assenze, anche specificando le relative causali, non consente di ritenere che la fruizione dei benefici di cui alla legge n. 104 del 1992 fosse necessariamente nota alla sua collega di stanza.

In ogni caso, anche qualora tale circostanza fosse nota nel contesto lavorativo, ciò non può essere comunque di per sé sufficiente ad escludere, sotto il profilo della protezione dei dati, la responsabilità in relazione all’invio della predetta comunicazione e-mail nel caso di specie, come peraltro confermato dalle iniziative assunte dal titolare del trattamento per formare e sensibilizzare il personale nell’ottica di prevenire il verificarsi di analoghi eventi in futuro.

L’esigenza di assicurare la continuità dell’attività lavorativa e l’efficienza organizzativa di uffici e amministrazioni tenendo conto della presenza in servizio o meno del personale non deve, infatti, comportare la comunicazione ai colleghi delle specifiche causali di assenza di taluni di essi. Tale consolidato orientamento è stato confermato anche in via generale dal Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, n. 146, del 5 giugno 2019, doc. web n. 9124510 (cfr. all. 1, par. 1.5. lett. d), ove si legge che “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)”).

Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene pertanto che, come ribadito dal Garante anche in riferimento a diversi contesti lavorativi (v., tra i tanti, provv. 1° settembre 2022, n. 290, doc. web n. 9811361), la trasmissione della predetta e-mail ha determinato, ancorché in un contesto caratterizzato da familiarità nei rapporti, la comunicazione ad una dipendente di informazioni relative alla fruizione del permesso di cui alla legge 104/1992 da parte della reclamante, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Mater Olbia S.p.a., sul presupposto che la trasmissione dell’e-mail sopra menzionata ha dato luogo ad una “comunicazione” di informazioni relative alla fruizione da parte della reclamante dei benefici di cui alla legge n. 104/1992 ad una collega che, non avendo necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione della Società medesima, deve considerarsi un soggetto “terzo” ai sensi dell’art. 4, par. 1, n. 10), del Regolamento, in violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice.

Tanto premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

la comunicazione a mezzo e-mail oggetto del presente provvedimento ha avuto come destinatario un’unica persona, collega della reclamante; la violazione, inoltre, ha riguardato nel caso di specie dati personali relativi a un solo interessato, ancorché relativi alla fruizione dei benefici di cui alla legge 104/1992, ed è avvenuta in un contesto caratterizzato da familiarità nei rapporti tra colleghi (v. nota dell’11 ottobre 2024; cfr. art. 83, par. 2, lett. a) e g), del Regolamento);

nell’ambito dell’organizzazione della Società, la violazione assume carattere isolato, posto che, come dichiarato dalla stessa con nota dell’11 ottobre 2024, “non sono risultati essere emersi dei precedenti e che, maggiormente, [la violazione] non si è più ripetuta” (v. nota dell’11 ottobre 2024; cfr. art. 83, par. 2, lett. b), del Regolamento);

la Società ha offerto un ampio livello di cooperazione con l’Autorità nel corso dell’istruttoria, avendo altresì dichiarato di aver intrapreso iniziative per prevenire il verificarsi di analoghe violazioni in futuro (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato da Mater Olbia S.p.a., in persona del legale rappresentante pro-tempore, con sede legale in SS125 Orientale Sarda, snc, 07026 - Olbia (SS), P. IVA 13882471009, per violazione degli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Società, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9, par. 2 lett. b), del Regolamento e 2-ter del Codice, come sopra descritto;

c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 19 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi