Garante per la protezione dei dati personali - Relazione 2013

La protezione dei dati personali nel rapporto di lavoro pubblico e privato

In più occasioni (v. anche par. 4.4) il Garante è stato chiamato a pronunciarsi sulla pubblicazione online, sui siti istituzionali degli enti pubblici ovvero nell’ambito delle sezioni dedicate all’albo pretorio, di dati, atti o provvedimenti contenenti dati personali (anche sensibili) riferiti a lavoratori o a partecipanti a concorsi e prove selettive.

Occupandosi della lamentata pubblicazione sul sito web di un’azienda per i servizi sanitari di un provvedimento con il quale veniva assunta la determinazione di recedere da un contratto individuale di lavoro, il Garante ha affermato che la determinazione aziendale, suscettibile di pubblicazione in base alla disciplina di settore, era stata tuttavia diffusa sul web nella versione integrale – che riportava, senza alcuna necessita', “in chiaro” l’identita' del dipendente –, in violazione dei principi di pertinenza e non eccedenza nel trattamento dei dati personali di cui all’art. 11, comma 1, lett. d ), del Codice (provv. 1° agosto 2013, n. 382, doc. web n. 2578588; nello stesso senso si è peraltro di recente pronunciata, su una decisione dell’Autorita', Cass. civ., sez. I, 20 luglio 2012, n. 12726 – confermando provv. 9 dicembre 2003, doc. web n. 1054649 – che aveva ritenuto illecita la diffusione da parte di un Comune delle generalita' di un proprio dipendente nell’avviso pubblico di convocazione del consiglio comunale nel quale avrebbe formato oggetto di discussione una procedura esecutiva che lo riguardava). Sempre in tale caso, dagli accertamenti effettuati attraverso il motore di ricerca dell’albo aziendale online era altresì emerso che, inserendo gli estremi identificativi dell’interessato, una volta rimossa la delibera dal sito, persisteva comunque la possibilita' di risalire all’“oggetto” della stessa contenente espressa indicazione del nominativo dell’ex dipendente. Pertanto, anche con riguardo a tale secondo profilo, l’Autorita' ha dichiarato illecito il trattamento posto in essere dall’azienda e vietato l’ulteriore diffusione delle informazioni riferite all’interessato, atteso che, per il periodo eccedente i 15 giorni previsti dalla disciplina di settore, si era determinata una diffusione illecita di dati personali (artt. 11, comma 1, lett. a) e 19 comma 3, del Codice). Come più volte ribadito dal Garante, infatti, trascorsi i periodi di tempo specificatamente individuati dalla disciplina di settore, i dati devono essere rimossi dal web o privati degli elementi identificativi degli interessati (sul punto cfr. par. 5.2, richiamato dal par. 6.B linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalita' di pubblicazione e diffusione sul web, provv. 2 marzo 2011, n. 88, doc. web n. 1793203).

In altri casi ha formato oggetto di segnalazione la pubblicazione, sui siti web istituzionali di istituti scolastici nonchè di altri uffici periferici del Ministero dell’istruzione dell’universita' e della ricerca, di graduatorie relative al personale docente ovvero al personale amministrativo tecnico ed ausiliario (cd. ATA) contenenti dati personali eccedenti e non pertinenti (quali codice fiscale, domicilio e recapiti telefonici degli interessati): in tali fattispecie, il Garante ha ritenuto illecita la diffusione dei dati eccedenti e non pertinenti rispetto alla finalita' di pubblicita' delle graduatorie (cfr. provv.ti 6 giugno 2013, n. 275, doc. web n. 2536184; n. 276, doc. web n. 2536409; n. 274, doc. web n. 2535862, in linea con le indicazioni dell’Autorita' nelle linee guida del 3 marzo 2011, doc. web n. 1793203). Tale valutazione, peraltro, trova riscontro anche nell’indirizzo recepito dal Ministero dell’istruzione (peraltro interessato della vicenda) – dapprima con circolare del 7 marzo 2008 (prot. 45/dip./segr.) e, da ultimo, del 22 gennaio 2013 (prot. n. AOODGPER510 – Uff. III), diramate alle articolazioni territoriali concernenti la corretta messa a disposizione sul web dei dati personali detenuti dal Sistema informativo centrale del Ministero-SIDI –, anche in considerazione della presenza, all’interno delle citate graduatorie, di dati personali riferiti a un numero elevato di interessati.

In altro caso, concernente la diffusione mediante pubblicazione sul web, a far data dal 2010, di informazioni (segnatamente, l’elenco dei candidati ammessi alla prova scritta, all’esame orale e il diario delle prove), concernenti lo stato di disabilita' di un segnalante e di altri partecipanti ad un concorso riservato ai disabili (ai sensi dell’art. 1, l. n. 68/1999, normativa concernente “il diritto al lavoro dei disabili”), l’Autorita', riservandosi di verificare con separato procedimento la sussistenza dei presupposti per le contestazioni delle sanzioni amministrative conseguenti all’illecito trattamento, ha vietato l’ulteriore diffusione su internet dei dati dei soggetti interessati contenuti nelle graduatorie (provv. 6 giugno 2013, n. 277, doc. web n. 2554965). Tanto, in base al divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 22, comma 8, del Codice) – la cui violazione è stata gia' stigmatizzata più volte dal Garante (cfr. par. 4.4) – quali le condizioni di invalidita', disabilita' o handicap fisici e/o psichici (cfr. provv.ti 22 novembre 2012, doc. web n. 2194472; 29 novembre 2012, doc. web n. 2192671; 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n. 1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639).