g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 16 gennaio 2025 [10111106]

Provvedimento del 16 gennaio 2025 [10111106]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10111106]

Provvedimento del 16 gennaio 2025

Registro dei provvedimenti
n. 10 del 16 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte del dott. Enrico Giliberti, in qualità di medico competente;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’istruttoria avviata a seguito della presentazione del reclamo.

Con reclamo presentato in data 17/01/2023, regolarizzato il 17/04/2023, ai sensi dell’art. 77 del Regolamento, il sig. XX, tramite il delegato sindacale RSU e RLSA presso Eni S.p.A. XX, lamentava un illecito trattamento di dati personali, da parte del Dott. Enrico Giliberti, medico competente e titolare del trattamento dei dati personali sanitari dei lavoratori del Distretto meridionale DIME/Viggiano di Eni Natural Resource presso la quale il reclamante svolgeva la sua prestazione lavorativa.

In particolare, dalla documentazione allegata al reclamo, emergeva che, in data 11/05/2021, il Dott. Giliberti trasmetteva a Eni S.p.A. Upstream DIME, al Responsabile del personale Eni DIME XX, al RSSPP XX e alla specialista salute e igiene industriale XX, una relazione avente ad oggetto “Sintesi anamnestica del sig. XX” in cui venivano riportate informazioni sullo stato di salute del reclamante e le principali vicende mediche occorse nell’anno 2021.

L’Ufficio, pertanto, rivolgeva alla parte una richiesta di informazioni, ai sensi dell’art. 157 del Codice, volta a conoscere i presupposti di liceità di cui agli artt. 6 e 9 del Regolamento, alla base dell’avvenuta comunicazione di dati particolari del reclamante al datore di lavoro (nota del 16/06/2023, reiterata il 28/09/2023).

La parte forniva riscontro con nota del 22/10/2023, rappresentando che “Con la relazione dell'11 maggio 2021, non ritenevo di aver diffuso informazioni relative a diagnosi e/o anamnesi familiare del Sig.XX. Credo di aver solo prospettato lo stato d'ansia reattiva in cui versava il XX, che del resto era diffusa in buona parte della popolazione, negli anni 2020/2021, quale tragica conseguenza della pandemia dovuta al COVID-19”.

Non veniva fornita alcuna ulteriore informazione relativamente alle circostanze che avevano determinato la comunicazione delle informazioni personali a terzi e ai presupposti di liceità alla base del trattamento posto in essere.  

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori ai sensi dell’art. 58, par. 1, lett. d), del Regolamento e dell’art. 166, comma 5, del Codice.

Alla luce delle informazioni raccolte, l’Ufficio provvedeva a notificare alla parte, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, per la violazione degli artt. 6 e 9 del Regolamento anche con riferimento alle specifiche discipline di settore applicabili, in particolare del d.lgs. n. 81/2008 (nota del 24/01/2024).

La parte, nonostante fosse stata informata dall’Ufficio della possibilità di produrre scritti difensivi o documenti in relazione al procedimento sanzionatorio a suo carico, non faceva pervenire alcuna documentazione al riguardo.  

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

Ciò posto, all’esito dell’istruttoria svolta sulla base delle dichiarazioni rese e della documentazione prodotta in atti, risulta accertato che il Dott. Giliberti, in qualità di medico competente, nonché di titolare del trattamento ai sensi dell’art. 4, n. 2, del Regolamento, ha effettuato un trattamento di dati cd. particolari riferiti al reclamante che non è conforme alla disciplina in materia di protezione dei dati personali.

In particolare, è emerso che il Dott. Giliberti, rivestendo il ruolo di medico competente di Eni S.p.A. incaricato della sorveglianza sanitaria del reclamante dal 2017 al 2020, ha inviato una comunicazione ai responsabili della Società con cui li informava dello stato di salute del reclamante (dipendente di Eni S.p.A.) e delle indagini cliniche eseguite nel corso del 2021 anche dal medico competente nel frattempo subentrato.

Si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Con riferimento al ruolo ricoperto dal medico competente, è necessario ricordare che questi è, per legge, l’unico legittimato a trattare in piena autonomia e competenza i dati personali di natura sanitaria dei lavoratori, laddove le informazioni relative a diagnosi e/o ad anamnesi del lavoratore non possono essere in alcun modo trattate dal datore di lavoro se non nella misura del mero giudizio di idoneità alla mansione specifica e delle prescrizioni che il professionista fissa come condizione di lavoro (art. 25, comma 1, lett. i) d.lgs. 81/2008 che prevede che il medico “comuni[chi] al datore di lavoro […] i risultati anonimi collettivi della sorveglianza sanitaria”).

In linea con quanto sopra enunciato, l’Autorità ha sottolineato il ruolo di autonomo titolare del trattamento del medico competente, che effettua i trattamenti volti a valutare l’idoneità alla mansione dei lavoratori per le finalità e nell’ambito di quanto indicato dalla legge di settore di cui al d.lgs. 81/2008 (si vedano a tal proposito i provvedimenti adottati dall’Autorità n. 194 del 27/04/2016 doc. web n. 5149198; n. 522 del 31/08/2023, doc web n. 9965614; con riguardo alla tenuta delle cartelle sanitarie e di rischio da parte del medico competente e alla diversa attività di tenuta e aggiornamento dei fascicoli personali dei dipendenti da parte del datore di lavoro il provvedimento recante “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro” del 23/11/2006, doc. web n. 1364939).

Pertanto gli eventuali flussi di dati personali tra il datore di lavoro e il medico competente devono intendersi quali “comunicazioni” di dati personali (art. 2-ter, par. 4, lett. a) del Codice), i cui presupposti sono rinvenibili nel richiamato quadro normativo di settore. Con riferimento ai dati cd. particolari di cui all’art. 9, par. 1, del Regolamento, si evidenzia che il loro trattamento è consentito se “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria (…) sulla base del diritto dell’Unione o degli Stati membri (…)” (art. 9, par. 2, lett. h, del Regolamento).

Alla luce del quadro normativo sopra richiamato, resta dunque accertato che la comunicazione delle informazioni relative allo stato di salute del reclamante è avvenuta al difuori delle specifiche competenze e degli obblighi sanciti dalla normativa.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati cd. particolari effettuato dal medico competente, consistente specificamente nella comunicazione di dati relativi allo stato di salute al datore di lavoro, risulta illecito, in quanto avvenuto in assenza di un idoneo presupposto di liceità di cui agli artt. 6 e 9, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie.

All’esito del procedimento risulta pertanto accertato che la parte ha violatogli artt. 6 e 9, par. 2, del Regolamento.

La violazione delle disposizioni richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a), del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- con riferimento alla natura, gravità e durata della violazione, deve considerarsi rilevante la violazione in esame avendo riguardato la comunicazione a terzi di dati rientranti nella cd. categorie particolari e il livello di danno subito dall’interessato;

- il grado di responsabilità del titolare del trattamento che, nello svolgimento dei propri compiti, ha trattato i dati del reclamante, in assenza di idonei presupposti di liceità;

- le categorie dei dati interessati dalla violazione, rientranti nei dati cd. particolari;

- l’assenza di precedenti violazioni pertinenti commesse dal titolare;

- l’assenza di collaborazione da parte del professionista che, nel corso del procedimento, non ha fornito utili elementi di valutazione.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base all volume d’affari relativo al bilancio 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Enrico Giliberti la sanzione amministrativa del pagamento di una somma pari a euro 2.000,00 (duemila).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i dati cd. particolari, della circostanza che la condotta è stata posta in essere da un soggetto che nello svolgimento dei propri compiti è venuto meno all’osservanza di specifiche disposizioni di settore oltre che di protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Enrico Giliberti,  s.r.l., in qualità di medico competente, C.F. XX,  per la violazione degli artt. 6 e 9, par. 2, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al medesimo di pagare la somma complessiva di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

al medesimo di pagare la predetta somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019 la pubblicazione del presente provvedimento sul sito internet del Garante;

ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, ricorrendone i presupposti, l’annotazione nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del medesimo Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10111106
Data
16/01/25

Argomenti

Particolari categorie di dati Lavoro dipendente Dati sanitari

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)