dati sanitari, privacy e dipendenti aziendaDipendenti e dati sanitari: non possono essere resi pubblici sui siti web delle aziende. Questo l’esito di un provvedimento del Garante privacy, che ha imposto a una società di rimuovere i dati sulla salute di un dirigente pubblicati on line.


Nel caso di specie, un’azienda aveva pubblicato sul proprio sito web alcuni dati sulla salute di un proprio dirigente. Pertanto, tali dati, chiaramente di natura sensibile e dunque particolarmente tutelati dalla normativa sulla privacy, erano liberamente reperibili nel web.

Il provvedimento (relatore Giuseppe Chiaravalloti) è stato adottato in seguito alla segnalazione del dirigente che, dopo aver ricevuto comunicazione della risoluzione del rapporto di lavoro, è venuto a conoscenza di un comunicato stampa, pubblicato su una pagina del sito dedicata agli investitori, dove erano riportati nome, cognome, informazioni sul suo stato di salute e sull’assenza dal lavoro dovuta a uno “stato morbile”.
Il dirigente aveva anche lamentato come a causa del comunicato stampa, veicolato a un numero elevatissimo di soggetti attraverso il sistema Nis (Network information system) di Borsa Italiana e Consob (il circuito telematico che permette alle agenzie di stampa di ricevere i comunicati delle società aderenti), incontrasse difficoltà nel proprio reinserimento professionale.
Dal canto suo la società ha giustificato il proprio operato appellandosi alla necessità di chiarezza e trasparenza richiesta dal mercato nel quale opera.
Nel motivare la sua decisione, il Garante ha ribadito che la diffusione delle informazioni idonee a rilevare lo stato di salute è vietata dal Codice privacy e ha sottolineato che la richiamata esigenza di trasparenza avrebbe potuto essere ugualmente perseguita dalla società omettendo nel comunicato stampa l’indicazione delle condizioni di salute del dirigente. L’azienda ha adempiuto entro i tempi stabiliti al provvedimento del Garante rimuovendo i dati dal sito.

Segue il testo del provvedimento del Garante per la protezione dei dati personali:

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

ESAMINATA la documentazione in atti;

VISTA la segnalazione del 5 giugno 2009 con cui XY ha lamentato un illecito trattamento di dati personali sensibili a sé riferiti da parte di ZW S.p.A. (di seguito, la società), presso la quale il segnalante ha operato in qualità di dirigente fino alla presentazione delle proprie dimissioni in data KQ;

VISTO quanto dichiarato dal segnalante, secondo cui la società avrebbe pubblicato sul proprio sito web (www…., nella sezione “investor relation”) un comunicato stampa (datato QX e in pari data diffuso “attraverso il sistema NIS di Borsa Italiana”) con cui informava gli operatori del settore che, a causa di un persistente stato morbile dell’interessato (cui era stata precedentemente resa nota, da parte della stessa società, la prossima risoluzione del rapporto di lavoro), la carica di dirigente YQ sarebbe stata ad interim assunta dall’amministratore delegato della medesima società;

ESAMINATA la documentazione prodotta dal segnalante e, in particolare, il testo del menzionato comunicato stampa, dal quale si evince che “giovedì YZ ZW ha comunicato al XY la risoluzione del rapporto di lavoro con il relativo preavviso e che lunedì JK il medesimo ha dichiarato di trovarsi in stato morbile” e che in data WQ il “dottor XY ha manifestato l'”impossibilità di svolgere tutte le attività prodromiche alla formazione e controllo del progetto di bilancio annuale” trovandosi ancora in stato morbile” (cfr. all. 2 alla segnalazione del 5 giugno 2009, in atti);

VISTA la nota del 30 luglio 2009 con cui la società, in riscontro alla richiesta di informazioni formulata dall’Ufficio, ha sostenuto, in particolare, la non riconducibilità della locuzione “stato morbile” utilizzata con riferimento al segnalante alla nozione di “dati sensibili” prevista dall’art. 4, comma 1, lett. d), del Codice, attesa la genericità della stessa. Tale espressione sarebbe infatti inidonea a fornire informazioni circa “la patologia evidenziata” o “la temporaneità” della medesima;

VISTO quanto precisato dalla società, che ha ritenuto legittimo il proprio operato alla luce del fatto che i dati la cui divulgazione è ora contestata dal segnalante sono stati comunque da quest’ultimo comunicati “in forza del rapporto di lavoro intercorso tra le parti ed al fine di legittimare l’assenza dal posto di lavoro”;

PRESO ATTO di quanto affermato dalla società, secondo cui “non è stata resa informativa al sig. XY in quanto […] è stato il sig. XY stesso […] ad informare e comunicare di essersi sottoposto “a cure mediche dal JK u.s. con prescrizione medica temporanea fino al KH””, con comunicazione inviata a una molteplicità di destinatari (tra i quali Consob e Borsa Italiana S.p.A.);

VISTO quanto precisato dalla stessa società ai sensi dell’art. 168 del Codice, secondo cui in virtù della già utilizzata (e sino allora non contestata) locuzione “stato morbile” in precedenti comunicazioni indirizzate, oltre che allo stesso segnalante, anche ai predetti destinatari, non ha ritenuto necessario dover acquisire il consenso dell’interessato “alla divulgazione di un dato -che, con tutta evidenza, non era stato ritenuto sensibile nemmeno dal “segnalante” che ne aveva dato comunicazione ad enti estranei e non interessati- ed in una forma che, precedentemente conosciuta, non era stata oggetto di contestazione”;

PRESO ATTO che l’avvenuta pubblicazione del menzionato comunicato stampa ha risposto alla necessità per la società di assicurare “la chiarezza e la trasparenza richiesta dal mercato” e che tale esigenza di chiarezza e trasparenza “non poteva che prevedere una spiegazione di quanto stava accadendo”;

VISTO quanto ulteriormente precisato dalla società, secondo cui la pubblicazione sul proprio sito del citato comunicato stampa, in considerazione delle richiamate necessità di trasparenza, avrebbe rappresentato “l’unico strumento utilizzabile, sia perché a tali comunicazioni ed informazioni espressamente predisposto, sia perché […] oggetto di consultazione solo da parte di coloro che richiedono informazioni sulla trasparente gestione societaria”;

VISTA l’ulteriore comunicazione del 4 novembre 2009, con cui il segnalante ha lamentato che, a causa del predetto comunicato (“veicolato per il tramite del servizio telematico NIS di Borsa Italiana” e, conseguentemente, pervenuto all’attenzione di “un numero elevatissimo di soggetti”), incontrerebbe difficoltà nel proprio reinserimento professionale presso altri datori di lavoro;

RILEVATO preliminarmente che, diversamente da quanto sostenuto dalla società, la locuzione “stato morbile”, in quanto per sé sola in grado di palesare informazioni attinenti alla sfera sanitaria del segnalante (a prescindere, cioè, dal puntuale riferimento a specifiche patologie), risulta per se stessa idonea a “rivelare lo stato di salute” dell’interessato (art. 4, comma 1, lett. d), del Codice; cfr. altresì, al riguardo, Provv. 3 febbraio 2009, doc. web n. 1597590; Provv. 8 maggio 2008, doc. web n. 1521716);

RILEVATO che il predetto comunicato stampa risulta pubblicato sul sito web della società (liberamente accessibile a terzi) ancora alla data del 3 dicembre 2009;

RITENUTO che tale pubblicazione integri unipotesi di diffusione di dati personali idonei a rivelare lo stato di salute dell’interessato (nell’accezione sopra evidenziata), risultando sul punto inconferenti le argomentazioni addotte dalla società in ordine alla precedente comunicazione di dati personali operata dal segnalante;

CONSIDERATO che i dati idonei a rivelare lo stato di salute non possono essere diffusi (art. 26, comma 5, del Codice);

RILEVATO altresì che i predetti dati attinenti alla sfera di salute dell’interessato, ancorché in riferimento al perseguimento di una pur legittima finalità di trasparenza a vantaggio degli operatori economici, non risultano peraltro essere stati trattati dalla società in conformità al principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice), attesa la non comprovata indispensabilità degli stessi in relazione all’asserita impossibilità “di poter organizzare correttamente l’iter di adempimento agli oneri societari e di comunicazione richiesti ad una società quotata in borsa”; rilevato infatti che la richiamata esigenza di trasparenza avrebbe potuto essere ugualmente perseguita dalla società omettendo l’indicazione, nel comunicato stampa oggetto di pubblicazione, delle condizioni di salute riferite al segnalante;

RITENUTO pertanto che l’anzidetta pubblicazione di dati idonei a rivelare lo stato di salute del segnalante sia avvenuta in violazione della disciplina di protezione dei dati personali (artt. 26, comma 5, e 11, comma 1, lett. d), del Codice);

CONSIDERATO che il Garante, ai sensi degli artt. 144, 143, comma 1, lett. c) e 154, comma 1 lett. d), del Codice, ha il compito di vietare, anche d’ufficio, il trattamento illecito o non corretto dei dati personali;

RITENUTO pertanto di dover vietare a ZW S.p.A., a far data dalla ricezione del presente provvedimento, l’ulteriore trattamento dei dati idonei a rivelare lo stato di salute dell’interessato, limitatamente a quelli oggetto di diffusione mediante il sito web riconducibile alla società;

RILEVATO che, in caso di inosservanza del presente provvedimento, potranno rendersi applicabili le sanzioni di cui agli artt. 162, comma 2-ter, e 170 del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO, IL GARANTE:

a) ai sensi degli artt. 144, 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice vieta a ZW S.p.A. di diffondere ulteriormente a mezzo del proprio sito web i dati idonei a rivelare lo stato di salute del segnalante;

b) prescrive alla citata società di dare conferma dell’avvenuto adempimento a questa Autorità e all’interessato entro il 15 gennaio 2010.

Roma, 16 dicembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Patroni Griffi

Fonte: Garante per la protezione dei dati personali.

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.