[doc. web n. 3394281]

Trattamento di dati sensibili da parte di un soggetto pubblico - 31 luglio 2014 [3394281]

Registro dei provvedimenti
n. 394 del 31 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTA la richiesta dell´Azienda Policlinico Umberto I (nota del 16 aprile 2014,in atti);

VISTO l´art. 17 del regolamento n. 1/2007 del 14 dicembre 2007, concernente le procedure interne all´Autorità aventi rilevanza esterna, pubblicato in G.U. n. 7 del 9 gennaio 2008 e disponibile sul sito web istituzionale all´indirizzo www.garanteprivacy.it, doc. web n. 1477480;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1.1. Con la richiesta del 16 aprile u.s., effettuata anche ai sensi dell´art. 39 del Codice, l´Azienda Policlinico Umberto I ha formalizzato la richiesta, già indirizzata all´Università "La Sapienza" di Roma (cfr. nota 10 febbraio 2014) volta ad acquisire – nell´ambito delle operazioni di accertamento e di quantificazione delle somme dovute al personale medico e sanitario a titolo di indennità di "guardia notturna", con riferimento al periodo 2006-2008, in attuazione della delibera n. 654 del 16 ottobre 2013 − "l´elenco degli iscritti alle […] OO.SS. alla data dell´invio dei rispettivi atti di diffida" interruttivi della prescrizione. La richiesta ha avuto origine, infatti, dalla necessità di provvedere al tempestivo accertamento ed alla quantificazione dell´ammontare dell´indennità spettante a ciascun lavoratore rispetto al quale non fosse in ogni caso intervenuta la prescrizione quinquennale (cfr, punto 2, delibera n. 654/2013, cit.), per effetto di appositi atti interruttivi della stessa posti in essere da alcune organizzazioni sindacali nell´interesse dei propri iscritti, appartenenti alla dirigenza medica e sanitaria sia del Sistema sanitario nazionale sia dell´Università "La Sapienza".

Stando a quanto dichiarato, proprio al fine di verificare la correttezza degli atti di diffida, si rendeva necessario verificare la rappresentatività delle OO.SS. rispetto agli interessati e, dunque, accertare l´effettiva adesione al sindacato nel periodo di riferimento (la data dell´atto interruttivo della prescrizione) da parte del personale interessato al pagamento delle competenze economiche.

1.2. Come meglio precisato dall´azienda (nell´ambito di una successiva comunicazione in riscontro alla richiesta di chiarimenti formulata dall´Ufficio), la richiesta all´Università sarebbe stata giustificata in considerazione del fatto che presso l´azienda "è funzionalmente assegnato personale, docente e non docente, dell´Università "La Sapienza", come da Protocollo di intesa tra la stessa Università e la Regione Lazio" e che, essendo le procedure stipendiali del personale universitario, in servizio anche presso l´azienda, in realtà gestite dall´ateneo, datore di lavoro principale ("anche se in presenza di doppio cedolino") solo nel "cedolino stipendiale di competenza dell´Università, non visualizzabile autonomamente dagli uffici aziendali, [sarebbero] riportate le trattenute effettuate a favore delle diverse OO.SS." (cfr. nota del 2 luglio 2014, in atti) in caso di adesione sindacale del lavoratore.

1.3. L´ateneo a propria volta ha dichiarato di aver opposto il proprio rifiuto alla richiesta dell´azienda affermando di "non potersi sostituire alle sigle sindacali interessate, che dispongono degli elenchi dei propri iscritti".

A seguito di specifica richiesta  (e come anticipato anche all´azienda con nota del 12 marzo 2014, in atti), l´università ha poi provveduto a fornire, in via collaborativa, a due sigle sindacali richiedenti "l´elenco dei propri rispettivi iscritti"(nota del 25 giugno 2014, in atti).

A conferma di ciò l´azienda ha, da ultimo, comunicato al Garante che "successivamente le OO.SS. […] hanno fornito esclusivamente i nominativi degli iscritti secondo le indicazioni dell´azienda stessa […]" previa acquisizione del consenso degli iscritti (cfr. nota 2 luglio 2014, cit.).

2. Preso atto che i dati personali rispetto ai quali è stata formulata la richiesta hanno senza dubbio natura sensibile, essendo idonei a rivelare l´appartenenza sindacale dei lavoratori (art. 4, comma 1, lett. d), del Codice), si rappresenta che la disciplina di protezione dei dati personali prevede, in linea generale, che il trattamento (tra cui la "comunicazione", art. 4, comma 1, lett. a) ed l) del Codice) dei dati sensibili – che deve comunque avvenire "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell´interessato" (art. 22, comma 1, del Codice) –, possa essere effettuato da parte dei soggetti pubblici solo in presenza di espressa disposizione di legge nella quale siano specificati, non solo i tipi di dati che possono essere trattati e la natura delle operazioni eseguibili, ma anche le finalità di rilevante interesse pubblico perseguite (art. 20, comma 1, del Codice).

Con particolare riferimento al caso di specie, si rileva che per il trattamento dei dati personali di cui al quesito, il legislatore ha direttamente individuato la richiesta finalità di rilevante interesse pubblico nelle esigenze connesse alla gestione del rapporto di lavoro, in particolare in adempimento degli "obblighi retributivi" di cui all´art. 112, comma 2, lett. d), del Codice.

Quanto, poi, alla tipologia di dati e di operazioni eseguibili (fra le quali rientrano la comunicazione e la diffusione del dato) esse, in base al richiamato quadro normativo, devono necessariamente essere specificate nei regolamenti per il trattamento dei dati sensibili e giudiziari di cui all´art. 20, comma 2, del Codice.

Nel caso specifico sottoposto all´attenzione del Garante, i regolamenti dei due enti interessati non prevedono, allo stato, tale particolare ipotesi di comunicazione, salvo, in ogni caso, l´eventuale aggiornamento degli stessi previo parere del Garante (art. 20 comma 2, del Codice).

Tanto premesso, preso atto che con riguardo al caso di specie la comunicazione tra i due soggetti pubblici non è, al momento, più necessaria − avendo l´azienda ospedaliera avuto la possibilità di acquisire i dati degli interessati per il tramite delle organizzazioni sindacali le quali, in un caso con il consenso dei propri iscritti hanno provveduto a fornire i nominativi degli stessi al fine di ottenere la liquidazione delle somme dovute−, si precisa che la procedura "semplificata" che il Codice prevede agli artt. 19, comma 2 e 39, commi 1, lett. a) e 2, non avrebbe potuto essere utilizzata per risolvere il problema contabile a suo tempo insorto, avendo ad oggetto dati sensibili.

Il Codice in materia di protezione dei dati personali detta, infatti, tale speciale disciplina per la comunicazione da parte dei soggetti pubblici dei soli dati personali diversi da quelli sensibili.

3.1. In particolare, l´attività di comunicazione di tali dati "da parte di un soggetto pubblico ad altri soggetti pubblici" è ammessa solamente quando sia espressamente prevista da "una norma di legge o di regolamento" (art. 19, comma 2 del Codice); in mancanza di tale base giuridica la comunicazione può essere utilmente intrapresa, quando sia comunque necessaria per lo svolgimento di funzioni istituzionali, decorsi 45 giorni dalla comunicazione al Garante − chiamato a verificare se tali funzioni siano effettivamente realizzabili,  in base al quadro normativo vigente, unicamente attraverso l´acquisizione dei dati richiesti − e in assenza di "diversa determinazione" dello stesso (artt. 19, comma 2 e 39, comma 2, del Codice).

Tale procedimento contemperando le esigenze di semplificazione e speditezza dell´azione amministrativa, quando sia volta a soddisfare necessità connesse all´esercizio di pubbliche funzioni, con il principio di legalità e tassatività dei casi di comunicazione dei soli dati comuni (art. 19, comma 2, del Codice), subordina all´obbligo di comunicazione al Garante la possibilità, in assenza di eventuali e anche successive determinazioni dello stesso, di porre in essere la comunicazione dei dati in favore di altro soggetto pubblico.

3.2. Più in generale, resta comunque salva la possibilità, anche al di là del caso esaminato ovvero ove si preveda che simili esigenze, legate all´adempimento di specifici obblighi in capo alle amministrazioni interessate, in qualità di datori di lavoro, possano in futuro riproporsi, di aggiornare i rispettivi regolamenti, previa acquisizione del parere del Garante, anche mediante il coinvolgimento della Regione, cui il presente provvedimento verrà notificato per opportuna conoscenza.

Roma, 31 luglio 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia