Una docente di un Liceo ha proposto reclamo (doc. web n. 9777200) al Garante per la protezione dei dati personali per lamentare la pubblicazione, in apposita sezione dedicata ai docenti del registro elettronico, di un documento recante, in corrispondenza del nominativo della reclamante, il riferimento alla fruizione dei benefici derivanti dalla Legge 104/1992 e, in particolare, l’indicazione “Legge 104 non grave”.
Il documento in questione, anziché essere pubblicato nella versione in cui dei tre fogli compariva solo il primo (privo di dati sensibili), era stato pubblicato in una versione destinata all’uso interno, comprensiva anche del foglio 2 (con dati sensibili) e del foglio 3 con le firme. Questa seconda versione era evidentemente destinata alla sola segreteria.
La disciplina di protezione dei dati personali – ha ricordato l’Autorità –prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento».
L’operazione di comunicazione di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Il datore di lavoro, titolare del trattamento, è in ogni caso tenuto a rispettare i principi generali in materia di protezione dei dati personali e deve trattare i dati mediante il personale autorizzato e istruito in merito all’accesso e al trattamento dei dati.
Preliminarmente, nel ricordare che sono considerati dati relativi alla salute «i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute», il Garante ha precisato che anche il riferimento alla Legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona.
I dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato
Sebbene, quindi, per errore la messa a disposizione del documento in questione, nella propria versione integrale e contenente anche dati relativi alla salute, sia avvenuta in un’area ad accesso riservato del registro elettronico dell’Istituto, la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero assai ampio di soggetti, ossia tutti i colleghi della reclamante appartenenti al personale docente; e non, invece, esclusivamente a vantaggio del solo personale di segreteria autorizzato al trattamento di tali informazioni.
Per tali ragioni l’Istituto ha reso conoscibile in modo ingiustificato agli altri dipendenti dati personali, anche relativi alla salute, della reclamante. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del datore di lavoro, quanto dichiarato in merito al fatto che i docenti fossero «reciprocamente al corrente del fatto che alcuni di loro [fossero] destinatari di benefici in base alla Legge 104» avendo gli interessati «condiviso con i colleghi la loro situazione».
Alla luce delle considerazioni che precedono, la consultabilità nell’area riservata del registro elettronico della versione integrale del predetto documento ha di fatto reso conoscibili a tutto il personale docente dell’Istituto informazioni, anche relative alla salute, della reclamante e ha reso, inoltre, gli stessi docenti vicendevolmente edotti in merito a situazioni personali, familiari o comunque attinenti allo specifico rapporto di lavoro di ciascuno.
Considerato che tutto il personale della scuola non può essere ritenuto autorizzato a trattare i dati in questione, non può essere ritenuta conforme al quadro normativo in materia di protezione dei dati la messa a disposizione di dati personali – specie se relativi alla salute o relativi a vicende legate al rapporto individuale di lavoro – di tutto il personale in servizio in modo generalizzato e indistinto.
Quindi, la violazione delle predette disposizioni ha reso applicabile la sanzione amministrativa pari a 2.500 euro.
