[doc. web n. 10088943]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 676 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dalla Sig.ra XX nei confronti di Montini Group S.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 3 maggio 2022, la Sig.ra XX ha lamentato presunte violazioni del Regolamento da parte di Montini Group S.r.l. (di seguito, la Società), con riferimento al trattamento di dati personali relativi al suo stato di salute.

In particolare, è stato lamentato che il datore di lavoro ha contattato telefonicamente il medico di medicina generale della reclamante, circostanza resa nota dal medesimo rappresentante legale della Società, Sig. XX, con comunicazione inviata via e-mail l’8 aprile 2022 ad una organizzazione sindacale che aveva chiesto alcuni chiarimenti su incarico della reclamante stessa (“La settimana scorsa [la reclamante] ci ha inviato una email ove insisteva nel richiedere la visita del medico aziendale, precisando che tale indicazione era stata fatta dal suo medico di base. Senza entrare nel merito specifico della conversazione, ho contattato il medico che ci ha confermato non essere veritiero il suggerimento che la dipendente ha richiesto, anzi, il medico stesso era imbarazzato per il prolungarsi delle continue richieste di sospensione dal lavoro nonostante le cure e indicazioni prescritte”).

La reclamante ha pertanto chiesto l’intervento dell’Autorità ritenendo che la comunicazione telefonica del datore di lavoro con il medico che aveva redatto certificazioni per la reclamante fosse avvenuta in violazione del Regolamento e del Codice.

La Società, nel fornire riscontro a una richiesta di informazioni inviata dall’Autorità il 13 settembre 2023, con nota del 6 ottobre 2023 ha rappresentato che:

il legale rappresentante “ha contattato telefonicamente, nel mese di Aprile 2022, il Medico di medicina generale della reclamante […] in seguito alle insistenti richieste della dipendente di poter effettuare una visita con il Medico Competente aziendale su espressa richiesta del suo medico di base. La suddetta telefonata era finalizzata per comunicare al medesimo che il Medico Competente aziendale […] avrebbe visitato la reclamante alla ripresa del lavoro, a seguito di assenza per motivi di salute”;

“Le reiterate richieste della reclamante di effettuare visite mediche durante il periodo di assenza dal lavoro erano state ritenute non meritevoli di accoglimento dal Medico Competente in forza del piano di sorveglianza sanitaria […] che prevede la definizione di uno specifico protocollo sanitario mediante l’effettuazione di visite mediche, da svolgersi durante il percorso lavorativo del dipendente (ultima visita effettuata in data 25 Ottobre 2021)”;

“La telefonata intercorsa tra il [legale rappresentante] e [il] Medico di base della reclamante […] non era in alcun modo finalizzata a verificare l’attendibilità dei certificati medici inviati dalla dipendente in malattia, non vi è stata richiesta di indicazioni sul tipo di patologia diagnosticata, poiché il motivo della interlocuzione non era sincerarsi della genuinità della malattia della reclamante bensì rappresentare al Medico curante della [reclamante] quanto stabilito dal Medico competente […] ossia l’effettuazione della visita medica […] al rientro dalla malattia”;

la Società “al fine di assolvere i propri obblighi normativi in materia di salute e sicurezza sul lavoro, ha trattato i dati personali della dipendente in base all’art. 9 par. 2 lett. b) e art. 88 del GDPR limitandosi al solo accertamento della sussistenza dei presupposti, rappresentati dall’esistenza di un’infermità e dei suoi effetti temporaneamente invalidanti senza mai richiedere o divulgare dati particolari, relativi allo stato di salute della dipendente”.

In risposta alla richiesta dell’Ufficio del 12 marzo 2024 di fornire ulteriori chiarimenti, la Società, con nota del 19 marzo 2024, ha ulteriormente evidenziato che:

la reclamante “ha richiesto la visita con il medico competente tramite mail il 04/04/2022 e tramite pec del sindacato il 06/04/2022. Precedentemente aveva fatto richiesta telefonica e le era stato risposto di inviare richiesta scritta”;

“La richiesta è stata subito comunicata al medico competente telefonicamente, il quale rispose che finché la [reclamante] era in mutua non poteva procedere con la visita. Tale risposta è stata comunicata telefonicamente alla [reclamante]”;

“La telefonata del [legale rappresentante] al medico di base della [reclamante] è stata effettuata 1 o 2 gg dopo la telefonata con il medico competente, per fare presente che la visita poteva essere effettuata solo al rientro dalla malattia”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 21 giugno 2024, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. b) e c), 9, par. 2, lett. b), del Regolamento anche con riferimento a quanto stabilito da specifiche disposizioni di settore relative agli accertamenti sanitari sullo stato del dipendente (art. 5, l. 20/5/1970, n. 300), alle modalità di verifica della veridicità delle certificazioni mediche e alla tutela della salute e della sicurezza nei luoghi di lavoro (d.lgs. 9 aprile 2008, n. 81).

Con memorie difensive inviate in data 19 luglio 2024, la Società, ha dichiarato che:

“L'art. 41, al comma 2, lettera c) del Decreto Legislativo 81/08 prevede che la sorveglianza sanitaria comprenda la visita medica su richiesta del lavoratore, qualora sia ritenuta dal medico competente […] correlata ai rischi professionali o alle sue condizioni di salute, suscettibili di peggioramento a causa dell'attività lavorativa svolta, al fine di esprimere il giudizio di idoneità alla mansione specifica. La procedura per avanzare la richiesta di visita stabilisce che il lavoratore comunichi al datore di lavoro, in forma scritta, la necessità di consultare il medico competente […] il quale valuterà la congruità della richiesta”;

la Società “una volta ricevuta per iscritto la richiesta della [reclamante] ha immediatamente contattato il medico competente […] che ha risposto di non potere visitare la [reclamante] durante il periodo di malattia; concluso tale periodo […] l’avrebbe certamente visitata. A stretto giro il […] rappresentante legale della società […] ha chiamato in totale buona fede, [il] medico di medicina generale […] della [reclamante] per informarla riguardo alle decisioni prese dal medico dell’azienda”;

“Tale comunicazione, superflua dal punto di vista normativo (in base all’art. 41 del Decreto Legislativo 81/’08 il medico di medicina generale […] non ha alcuna voce in capitolo sulla sorveglianza sanitaria […]) viene considerata necessaria dal [legale rappresentante] per esigenze di pianificazione e gestione delle risorse aziendali”;

la reclamante “essendo munita di patente, guidava il veicolo dell’azienda utilizzato per gli spostamenti e per il trasporto delle attrezzature occorrenti allo svolgimento dell’attività lavorativa. Le sue assenze, ancorché motivate e meritevoli di attenzione da parte del Datore di lavoro, mediante la sorveglianza sanitaria del medico competente […] comportavano modifiche nella gestione dei mezzi di trasporto aziendali e disagi nella pianificazione del lavoro. Questo è ciò che il [legale rappresentante] voleva rappresentare al medico di medicina generale […] della [reclamante]: non c’era da parte dell’azienda nessuna volontà di investigare sull’origine dell’eventuale patologia della dipendente, né sincerarsi sulle condizioni di salute della medesima potendo […] in qualità di datore lavoro, legittimamente attivare gli strumenti di controllo previsti dalla disciplina di settore anche al fine di prevenire o contrastare condotte assenteistiche”;

“Il coinvolgimento del medico di medicina generale […] della dipendente era teso a far comprendere, in primis alla [reclamante], che l’azienda pur trovandosi in difficoltà nella gestione dei servizi a causa delle innumerevoli assenze era ed è in prima linea nella tutela del lavoratore sia dal punto di vista della sicurezza che di quello della salute”;

la Società “in occasione dell’aggiornamento del Registro dei trattamenti intende introdurre ulteriori procedure di controllo finalizzate al miglioramento continuo del sistema dì gestione privacy interno all’azienda, specie per il trattamento di dati “particolari” tra i quali rientrano quelli relativi alla salute”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento, riferite alla reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società ha ricevuto, in data 4 aprile 2022, una e-mail della reclamante con la quale, tra l’altro, contestualmente all’invio di un certificato di malattia, la stessa ha richiesto “una visita [del] medico del lavoro consigliata” dal proprio medico di medicina generale (v. allegato alla nota della Società del 19/3/2024).

Il 6 aprile, tale richiesta è stata ripresentata alla Società, tramite comunicazione via Pec inviata da una organizzazione sindacale, su mandato della reclamante (nella missiva si rappresentava che la reclamante “ha chiesto già alla fine dello scorso mese di febbraio di essere sottoposta a visita da parte del Medico Competente aziendale, correlata ai rischi professionali per le sue condizioni di salute suscettibili di peggioramento a causa dell'attività lavorativa svolta: a tutt'oggi però non le è stato dato riscontro”; v. allegato alla nota della Società del 19/3/2024).

Secondo quanto dichiarato dalla Società, la richiesta di poter effettuare la visita da parte del medico competente (in data non meglio precisata, verosimilmente dopo la comunicazione effettuata dal sindacato per conto della reclamante) è stata “subito comunicata al medico competente telefonicamente, il quale rispose che finché la [reclamante] era in mutua non poteva procedere con la visita. Tale risposta è stata comunicata telefonicamente alla [reclamante]”.

Sempre secondo quanto dichiarato dalla Società nel corso del procedimento avviato dall’Autorità, successivamente alla comunicazione alla reclamante della risposta del medico competente (1 o 2 giorni dopo il riscontro di quest’ultimo), la Società ha contattato telefonicamente il medico di medicina generale (MMG) della reclamante allo scopo di “rappresentare al Medico curante […] quanto stabilito dal medico competente […] ossia l’effettuazione della visita medica […] al rientro dalla malattia” (nota 6/10/2023).

Con riguardo alla predetta comunicazione telefonica, avvenuta tra il legale rappresentante della Società e il MMG della reclamante in data 8 aprile 2022, la Società, nel fornire riscontro alla nota inviata dalla organizzazione sindacale per conto della reclamante il precedente 6 aprile, ha dichiarato di aver “contattato il medico che ci ha confermato non essere veritiero il suggerimento che la dipendente ha richiesto, anzi, il medico stesso era imbarazzato per il prolungarsi delle continue richieste di sospensione dal lavoro nonostante le cure e indicazioni prescritte”.

Pertanto, da un lato, la Società ha dichiarato, nel corso del procedimento davanti al Garante, di aver contattato il medico di medicina generale della reclamante allo scopo di rendergli noto che la visita con il medico competente poteva essere effettuata solo al termine dello stato di malattia della reclamante, dopo averlo comunicato alla reclamante stessa.

D’altro lato però, in riscontro alla richiesta della reclamante veicolata dall’organizzazione sindacale, la Società ha invece rappresentato che, nel corso della comunicazione telefonica con il MMG, quest’ultimo avrebbe fornito una versione diversa da quella rappresentata dalla lavoratrice con riguardo alla richiesta di visita del medico competente (“ha confermato non essere veritiero il suggerimento che la dipendente ha richiesto”), ed avrebbe altresì espresso proprie valutazioni circa le richieste di certificazioni di malattia rivolte dalla reclamante (“il medico stesso era imbarazzato per il prolungarsi delle continue richieste di sospensione dal lavoro nonostante le cure e indicazioni prescritte”: nota della Società dell’8/4/2022).

In base a quanto rappresentato nella nota di riscontro dell’8 aprile 2022, dunque, l’oggetto della conversazione telefonica tra il datore di lavoro e il MMG ha riguardato anche la provenienza della richiesta di visita con il medico competente, posto che il MMG avrebbe sostenuto che tale richiesta, diversamente da quanto sostenuto dalla reclamante, non era stata proposta dallo stesso.

Inoltre, il MMG avrebbe fornito, al datore di lavoro, valutazioni (evidentemente di segno negativo, da ciò il proprio “imbarazzo”) in merito al “prolungarsi delle continue richieste di sospensione dal lavoro nonostante le cure e indicazioni prescritte”.

In base a tali riferimenti, spontaneamente forniti dal datore di lavoro all’organizzazione sindacale, si evince che la comunicazione telefonica ha riguardato non solo la provenienza della richiesta di visita con il medico competente, ma anche “le richieste di sospensione dal lavoro”, ossia le richieste di certificazione di malattia redatte dallo stesso MMG, nonché le “cure e le indicazioni” prescritte alla reclamante, in relazione al proprio stato di salute dal MMG.

Anche facendo riferimento a quanto dedotto in proposito dalla Società nelle memorie difensive, pur prendendo atto della “totale buona fede” che avrebbe connotato la condotta oggetto di reclamo, tuttavia si rileva che, nel dichiarare che l’intento della telefonata effettuata al medico di medicina generale della dipendente in stato di malattia consisteva nel rappresentare al medico medesimo “le difficoltà nella gestione dei servizi a causa delle innumerevoli assenze”, la Società stessa conferma che il contatto diretto, cercato dal datore di lavoro, non solo è stato “superfluo”, come dichiarato, rispetto a quanto disposto dalla disciplina posta in materia di sorveglianza sanitaria, bensì anche illecito, in quanto le legittime esigenze di organizzazione e pianificazione dei turni di servizio non possono incidere sulla tutela della salute del dipendente garantita dall’ordinamento proprio dall’operato di personale medico tenuto a valutare esclusivamente tale profilo, in base alle proprie competenze professionali.

Ciò, ovviamente, fatta salva la possibilità, per il datore di lavoro, di attivare gli specifici rimedi previsti per l’eventuale verifica della veridicità delle certificazioni mediche.

Nel quadro normativo vigente, ai sensi dell’art. 5, della L. 20/05/1970, n. 300, “Sono vietati accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Il controllo delle assenze per infermità può essere effettuato soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti, i quali sono tenuti a compierlo quando il datore di lavoro lo richieda”.

Inoltre, anche al fine di impedire che il datore di lavoro apprenda informazioni non necessarie per la valutazione dell’attitudine professionale del lavoratore, l’attività di sorveglianza sanitaria preordinata alla protezione della salute e della sicurezza dei luoghi di lavoro, deve essere svolta avvalendosi del medico competente che è l’unico soggetto legittimato a trattare, in piena autonomia e competenza tecnica, i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro.

Ciò in quanto le informazioni relative, in particolare, alla diagnosi o all’anamnesi familiare del lavoratore non possono essere in alcun modo trattate dal datore di lavoro, il quale deve invece limitarsi a conoscere il mero giudizio sintetico di idoneità (se del caso con prescrizioni, oppure di inidoneità) alla mansione specifica formulato dal medico competente (v. art. 25, D. Lgs. 9/4/2008, n. 81, “Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro”; sul punto si vedano anche i documenti adottati in materia dall’Autorità: Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, in www. garanteprivacy.it, doc. web n. 1364939, spec. punto 6 e “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

Con riguardo alla richiesta di visita rivolta al datore di lavoro dalla reclamante, si osserva che l’art. 41, D. Lgs. n. 81/2008, stabilisce che la sorveglianza sanitaria effettuata dal medico competente comprende la “visita medica su richiesta del lavoratore, qualora sia ritenuta dal medico competente correlata ai rischi professionali o alle sue condizioni di salute, suscettibili di peggioramento a causa dell'attività lavorativa svolta, al fine di esprimere il giudizio di idoneità alla mansione specifica” (art. 41, co. 1, lett. b) e co. 2, lett. c), D. Lgs. 81/2008).

In base a quanto previsto dalla richiamata norma di settore, anche il lavoratore può richiedere la visita con il medico competente, con conseguente irrilevanza del fatto che tale richiesta sia stata concordata e/o consigliata, o meno, dal MMG.

Le richiamate disposizioni di settore devono essere osservate dal titolare del trattamento in base al principio generale di liceità dei trattamenti di dati personali posto dall’art. 5, par. 1, lett. a) del Regolamento.

Inoltre, in tale quadro, la comunicazione telefonica del datore di lavoro, effettuata con il MMG, e il relativo trattamento di dati personali riferiti alla reclamante, è avvenuta al di fuori di quanto “necessario per adempiere un obbligo legale” (art. 6, par. 1, lett. c) del Regolamento), posto che il MMG non ha alcun ruolo diretto nella richiesta di visita al medico competente da parte del lavoratore e pertanto non vi era necessità alcuna di comunicare a questi la risposta del medico competente.

Da questo punto di vista, inoltre, la comunicazione ritenuta dalla stessa Società “superflua” (v. memorie difensive 19/7/2024) è avvenuta altresì in violazione del principio generale di minimizzazione in base al quale i dati devo essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati” (art. 5, par. 1, lett. c) del Regolamento).

Tantomeno tale comunicazione, e il relativo trattamento di dati personali, risultano necessari “per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate” (art. 9, par. 2, lett. b) del Regolamento), che costituisce la condizione di liceità per il trattamento di dati riferiti allo stato di salute (con riguardo al trattamento di dati relativi alla salute del candidato ad una posizione lavorativa in assenza di base giuridica v. Provv. 8/6/2023, n. 245, doc. web n. 9924438; in relazione ad un caso in cui il datore di lavoro ha contattato telefonicamente il medico di medicina generale del dipendente in epoca precedente all’applicazione del Regolamento si veda il Provv. 10/4/2014, n. 187, doc. web n. 3214369).

Ciò con riguardo alla circostanza, già sopra richiamata, rappresentata dalla Società nella lettera dell’8 aprile 2022 in riscontro alla richiesta della organizzazione sindacale delegata dalla reclamante, che la telefonata con il MMG avrebbe riguardato sia la provenienza della richiesta di visita con il medico competente, sia le certificazioni di malattia presentate dalla reclamante che avrebbero provocato “imbarazzo” nel MMG, il quale peraltro avrebbe fatto altresì riferimento, nel corso della telefonata, a “cure e indicazioni” prescritte alla reclamante, nonché la rappresentazione, da parte del datore di lavoro, che le “innumerevoli assenze” per malattia della lavoratrice creavano “difficoltà” nella “gestione dei servizi”.

La Società pertanto, nei termini sopra descritti, ha violato quanto stabilito dagli artt. 5, par. 1, lett. a) (principio di liceità dei trattamenti) e c) (principio di minimizzazione), 6 e 9 (condizioni di liceità del trattamento di dati comuni e particolari) del Regolamento anche alla luce di quanto prescritto dalla disciplina di settore in materia di tutela della salute e della sicurezza nei luoghi di lavoro (D. Lgs. 9/4/2008, n. 81) e di accertamenti sanitari sullo stato del dipendente (art. 5, l. 20/5/1970, n. 300).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’inosservanza del principio di liceità in relazione a discipline di settore applicabili in materia lavoristica e delle specifiche condizioni di liceità del trattamento di dati comuni e particolari, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento.
La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato i principi generali e le condizioni di liceità del trattamento, della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha anche preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83 del regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione al trattamento dei dati personali posto in essere da Montini Group S.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento (principi generali e condizioni di liceità del trattamento); in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato il trattamento di dati anche particolari riferiti alle condizioni di salute dell’interessata;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, è stata presa in considerazione la condotta negligente della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni;

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della circostanza che la violazione accertata ha riguardato la sola reclamante.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base al bilancio d’esercizio per l’anno 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Montini Group S.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 6.000 (seimila).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento e le condizioni di liceità dei trattamenti di dati riguardanti lo stato di salute del dipendente anche alla luce della vigente disciplina di settore in materia di sorveglianza sanitaria.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Montini Group S.r.l., in persona del legale rappresentante, con sede legale in Via Cipro, 58, Brescia (BS), C.F. 03635930989, ai sensi dell’art. 143 del Codice, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Montini Group S.r.l., di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 6.000 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma. 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei