Privacy e comunicazione della malattia
Per la Cassazione la comunicazione interna di dati sanitari (già noti) del dipendente non costituisce una violazione della privacy.
La Corte di Cassazione, con l’ordinanza n. 16560/2020, ha dichiarato inammissibile il ricorso in quanto non viola la disciplina in materia di privacy la comunicazione dei dati sanitari del dipendente se già resi noti.
Indice
Il fatto
La vicenda risale al 2010, quando vigeva ancora il Codice Privacy senza le modifiche apportate dal D. lgs 101/2018. In particolare, un infermiere lamentava l’illecita diffusione, da parte del datore di lavoro, di dati inerenti alle proprie condizioni di salute, le quali però erano già state rese note dallo stesso dipendente ad alcuni colleghi.
La caposala del suo reparto aveva inviato una nota ai suoi superiori gerarchici, evidenziando l’opportunità della sottoposizione dell’infermiere ad una visita medica straordinaria, ai sensi dell’art. 41 c. 2 D. lgs. 81/2008, presso il medico competente, per “problemi di iperglicemia” e per la periodica sottoposizione “a trattamenti di plasmaferesi in regime di Day-Hospital”.
La decisione del Garante e del Tribunale di Roma
L’Autorità garante per la protezione dei dati personali ha respinto la domanda dell’infermiere, sostenendo che la nota della caposala dovesse essere inquadrata come richiesta interna, inoltrabile ai superiori ex art. 5 c. 3 l. 300/1970. Il dipendente ha proposto così ricorso al Tribunale di Roma lamentando:
- La violazione del principio di pertinenza e necessità del trattamento (ora “principio di minimizzazione” ex art. 5 GDPR), ritenendo che la comunicazione dei dati sanitari non fosse indispensabile per il perseguimento dei fini di sorveglianza sanitaria;
- La trasmissione a soggetti diversi dal medico competente, condotta che non dovrebbe ritenersi compatibile col principio di necessità nell’esercizio della facoltà ex art. 5 dello Statuto dei lavoratori.
Il Tribunale ha respinto la domanda del ricorrente sulla base dei seguenti argomenti:
- Secondo quanto già deciso dal Garante, la nota della caposala deve ritenersi come una segnalazione interna, rivolta ai diretti superiori e, pertanto, non si può parlare di “comunicazione”. Inoltre, la pubblica ostensione dei dati sanitari da parte dell’interessato integrava “una forma di consenso implicito al loro trattamento”, comportando dunque un affievolimento della tutela privacy;
- I principi di pertinenza e necessità non risultano violati nel caso di specie, vista l’esigenza superiore di tutela della salute, dell’interessato prestatore di lavoro.
L’esito del ricorso in Cassazione
L’infermiere ricorreva così in Cassazione sostenendo che:
- La decisione fosse illegittima ai sensi del D. lgs. 196/2003, artt. 1, 4, 11, 15, 18, 20 e 22, sottolineando come:
- Sia la normativa che la giurisprudenza non distinguano le “comunicazioni interne” da quelle “esterne”;
- Il giudice non abbia rilevato come si rendeva necessaria l’esistenza di una specifica norma di legge che ne autorizzasse i poteri, i limiti e le finalità, ma anche la persona che tratta i dati, la quale deve a sua volta essere legittimata da una nomina proveniente dal titolare del trattamento;
- Il fatto che il ricorrente avesse parlato con i propri colleghi di lavoro della propria patologia non attuava in alcun modo i principi di necessità e pertinenza nel trattamento.
La Corte ha dichiarato inammissibile il ricorso poiché i motivi riflettono una ridondante critica di merito nella misura in cui fanno riferimento alla ricostruzione della modalità di gestione del dato secondo i canoni di necessità e pertinenza. Il motivo di ricorso viene a risolversi in un tentativo di sovvertimento della ricostruzione in fatto della vicenda, che finisce con l’esorbitare dai confini del giudizio di legittimità.
Considerazioni alla luce della normativa attuale
Come chiarito precedentemente, la vicenda risale al 2010. Pertanto, è lecito domandarsi quali sarebbero potuti essere gli sviluppi del caso se questo fosse accaduto dopo le modifiche apportate dal D. lgs. 101/2018.
Innanzitutto, occorre ipotizzare la base legale in cui inquadrare il trattamento. Di seguito i possibili inquadramenti:
- La prima base giuridica è ravvisabile nell’art. 9 par. 2 lett. h) del GDPR, che autorizza al trattamento dei dati personali se esso è necessario per finalità di medicina preventiva o di medicina del lavoro […] fatte salve le condizioni di cui al par. 3, il quale prevede che tali dati siano trattati da o sotto la responsabilità di un professionista o altra persona soggetto al segreto professionale. Sul punto si riportano le FAQ Covid–19 sul Trattamento dei dati nell’ambito dell’emergenza sanitaria, mediante le quali il Garante ha ricordato che “in base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può […] conoscere l’esito degli esami diagnostici disposti dal medico competente”. Da qui si può dedurre che l’unico soggetto legittimato a trattare i dati in materia di sorveglianza sanitaria, in forza della specifica norma di legge (art. 41 D. lgs. 81/2008), è il medico competente, dovendo quindi ritenersi fondato il motivo di ricorso dell’infermiere.
- Se si volesse far riferimento alla base giuridica ex art. 9 par. 2 lett. g) del GDPR, cioè al “trattamento per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri”, risulterebbe complesso poter ritenere che, nel caso in analisi, siano state rispettate le condizioni di proporzionalità alla finalità perseguita. In altre parole, la nota interna non avrebbe dovuto specificare le malattie e le terapie a cui l’infermiere si era sottoposto.
- Infine, si potrebbe fare riferimento all’art. 9 par. 2 lett. e) del GDPR, che consente il trattamento dei dati personali qualora essi siano resi manifestamente pubblici dall’interessato.Tuttavia, l’art. 2-ter D. lgs. 196/2003 chiarisce che la diffusione, a differenza della comunicazione, consiste nel dare conoscenza dei dati personali a soggetti indeterminati. Nella vicenda qui analizzata, è ragionevole pensare che il ricorrente abbia dato notizia delle proprie condizioni di salute solo a specifici colleghi, dunque in via di comunicazione. In ogni caso, la condotta del dipendente non avrebbe in alcun modo legittimato ad una diffusione dei suoi dati sanitari. Ciononostante, nel caso qui analizzato la diffusione non si è realizzata, in quanto il datore si è limitato a rendere disponibili i dati a soggetti determinati e non a diffonderli ad una cerchia indeterminata di soggetti. Inoltre, può non essere condivisa la tesi secondo cui la comunicazione di dati sensibili ai propri colleghi comporti una forma di consenso implicito al loro trattamento, dal momento che la normativa vigente prevede il consenso esplicito ex art. 9 c. 2 lett. a) del GDPR.
In conclusione, si vuole abbracciare un orientamento più “prudente” relativo al caso in questione, ritenendo che gli enti debbano attivarsi nel definire procedure, interne ed esterne, che non violino l’essenza del diritto alla riservatezza dei propri dipendenti, presumendo che l’evoluzione della materia su casi simili potrebbe avere esiti differenti rispetto alla vicenda ora analizzata.