g-docweb-display Portlet

Provvedimento del 26 maggio 2016 [5194768]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5194768]

Provvedimento del 26 maggio 2016

Registro dei provvedimenti
n. 240 del 26 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso al Garante presentato in data 18 febbraio 2016 da XY, rappresentato e difeso dall´avv. Aldo Antonio Pazzaglia, nei confronti di Loginet Società cooperativa (di seguito "Società") con il quale il ricorrente, già dipendente della stessa, ribadendo le istanze precedentemente avanzate ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice"), non avendo ritenuto inidoneo il riscontro ricevuto, ha chiesto:

- la conferma dell´esistenza di dati personali che lo riguardano e la loro comunicazione in forma intelligibile;

- l´indicazione dell´origine dei dati medesimi, delle finalità, delle modalità e della logica applicata al trattamento;

-    gli estremi identificativi del titolare e del responsabile del trattamento, nonché i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza;

- la liquidazione in proprio favore delle spese sostenute per il procedimento;

PRESO ATTO in particolare che il ricorrente - avendo la citata società fatto riferimento, in sede di riscontro all´originario interpello, al trattamento di dati sensibili dei propri dipendenti - ha chiesto di conoscere anche, specificamente, quali siano i dati sensibili che lo riguardano trattati dalla resistente ed i presupposti per la liceità del loro trattamento, chiedendo il blocco e la cancellazione degli stessi, qualora illecitamente trattati;

VISTI gli ulteriori atti d´ufficio e, in particolare: a) la nota del 23 febbraio 2016 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, b) il verbale dell´audizione svoltasi presso la sede dell´Autorità in data 14 marzo 2016, nonché c) la nota del 15 aprile 2016 con cui, ai sensi dell´art. 149, comma 7, del Codice, è stata disposta la proroga del termine per la decisione sul ricorso;

VISTA altresì la nota del 9 marzo 2016 con la quale la resistente ha:

- precisato gli estremi identificativi del titolare e dell´attuale unico responsabile interno dei dati ed amministratore di sistema;

- dichiarato che i dati personali del ricorrente sono trattati in modo lecito ed in conformità con quanto indicato nel documento programmatico sulla sicurezza (a suo tempo previsto dall´art. 34, comma 1-bis, del Codice) redatto in data 24 marzo 2011 ed allegato alla nota;

- rappresentato che tutti i dati che riguardano il ricorrente sono custoditi presso la sede sociale, ivi compresa la documentazione medica ad egli relativa (che costituisce la totalità dei dati di carattere sensibile sull´interessato detenuti dal titolare) detenuta all´interno di un plico sigillato e firmato dal medico competente;
VISTA la memoria trasmessa in data 12 marzo 2016 con la quale il ricorrente:

- ha ritenuto il riscontro di controparte solo parzialmente soddisfacente ed ha pertanto ribadito la richiesta di comunicazione dei dati che lo riguardano trattati dalla società, nonché di conoscerne l´origine;

- ha sollevato perplessità anche in ordine al riscontro fornito dalla resistente circa le finalità, le modalità e la logica del trattamento e i soggetti o categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, ritenendo inidoneo il riferimento al documento programmatico sulla sicurezza, ossia ad un documento non più aggiornato dall´epoca dalla sua redazione per effetto dell´abrogazione dell´art. 34, comma 1-bis, del Codice;

- ha inoltre eccepito un possibile accesso e quindi trattamento dei dati sensibili contenuti nella documentazione medica consegnata dal medico competente "a dispetto della loro successiva inserzione in plico sigillato", non avendo la società chiarito se il plico sia pervenuto già sigillato ovvero sia stato sigillato successivamente, ed ha quindi chiesto la comunicazione dei dati sensibili contenuti all´interno della documentazione medica in questione;

VISTA la nota del 1° aprile 2016 con la quale la resistente ha:

- precisato che i dati trattati dalla Società in relazione al ricorrente sono i dati anagrafici, il codice fiscale acquisiti dal ricorrente "che ne autorizzava il trattamento come riportato in calce alle lettera di assunzione dallo stesso regolarmente sottoscritta", nonché i dati contenuti nel giudizio di idoneità alla mansione specifica;

- sostenuto che il trattamento dei dati è stato effettuato "esclusivamente ai fini dell´elaborazione del cedolino paga e degli adempimenti di natura fiscale, assicurativa e previdenziale" ed altre finalità scaturenti dal rapporto di lavoro;

- dichiarato che gli unici dati sensibili relativi allo stato di salute del ricorrente sono stati trattati in conformità alla legge in quanto "il plico contenente la cartella clinica del sig. XY, relativo alla sorveglianza sanitaria dei lavoratori, (…) è stato consegnato a mano sigillato e firmato dal Medico Competente (…) successivamente alle visite mediche sostenute dal Sig. XY come previsto dal DLGS 81/08 e conservato presso la Sede Legale con le modalità previste dalla normativa vigente";

VISTA la nota del 10 maggio 2016 con la quale il ricorrente, nell´eccepire che la resistente si sarebbe limitata, nella propria nota del 1° aprile 2016, ad indicare la tipologia dei dati personali trattati in relazione al medesimo, ha:

- nuovamente chiesto la comunicazione in forma intelligibile di tutti i dati che lo riguardano, "ovvero, se ciò fosse ritenuto più favorevole dal titolare, la consegna della copia dei documenti che contengano detti dati personali" (fra i quali, in particolare, la lettera di assunzione, la lettera di licenziamento, la carta di identità, la tessera sanitaria, i cedolini paga e tutte le comunicazioni, anche a terzi, ad esempio ma non esclusivamente all´INPS, contenenti dati personali riferiti o riferibili al ricorrente);

- ha chiesto alla società la consegna, tramite il Garante, del plico contenente tutti i dati sensibili allo stesso riferiti, "affinché ne possa essere verificata la sigillatura";

RILEVATO, tutto ciò premesso, che:

a) in ordine alle richieste di conoscere gli estremi identificativi del titolare e del responsabile del trattamento, nonché l´origine e le finalità del trattamento la resistente ha fornito, sia pure nel corso del procedimento, un riscontro sufficiente e pertanto con riguardo ad esse deve essere dichiarato non luogo a provvedere ai sensi dell´art. 149, comma 2, del Codice;

b) in ordine alle richieste di conoscere i dati personali trattati dalla resistente, le modalità e la logica applicata al trattamento, e i soggetti o le categorie di soggetti cui questi possono essere comunicati o che possono venirne a conoscenza, la medesima Società:

- ha fornito un idoneo riscontro, relativamente ai dati di carattere sensibile attese le dichiarazioni della cui veridicità l´autore risponde anche ai sensi dell´art. 168 del Codice ("Falsità nelle dichiarazioni e notificazioni al Garante") ed essendo stato ulteriormente riscontrato - in base a quanto emerso in sede di istruttoria di altro ricorso presentato dall´interessato nei confronti del medico competente - che lo stesso ha ricevuto copia della propria cartella sanitaria e di rischio;

- viceversa con riferimento agli ulteriori dati la resistente si è limitata ad indicare le categorie dei dati trattati o a far riferimento al documento programmatico per la sicurezza non più aggiornato dall´epoca dalla sua redazione avvenuta nel 2011 e pertanto, relativamente ai primi, essendo stato fornito un riscontro sufficiente all´interessato, va dichiarato non luogo a provvedere; viceversa, per i restanti dati il ricorso va accolto, ordinando al titolare di comunicare al ricorrente, entro trenta giorni dalla ricezione del presente provvedimento, i singoli dati personali, diversi da quelli sensibili contenuti nella suddetta cartella sanitaria e di rischio, nonché le modalità e la logica del trattamento e i soggetti o le categorie di soggetti cui questi possono essere comunicati o che possono venirne a conoscenza, fornendo riscontro secondo le modalità previste dall´art. 10 del Codice;

c) in ordine alla richiesta di cancellazione e di blocco dei dati sensibili che riguardano il ricorrente, la stessa deve essere dichiarata inammissibile essendo stata avanzata solo nell´atto di ricorso e non previamente formulata mediante l´interpello preventivo;

d) in ordine alla richiesta di ricevere il plico contenente tutti i dati sensibili riferiti all´interessato, "affinché ne possa essere verificata la sigillatura", la stessa deve essere dichiarata inammissibile sia perché avanzata nel corso del procedimento, sia perché non rientrante fra le istanze che l´interessato può avanzare ai sensi dell´art. 7 ss. del Codice;

VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 250,00 a Loginet Società cooperativa in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, per i parziali riscontri forniti dalla resistente nel corso del procedimento;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE:

a) accoglie parzialmente il ricorso ed ordina a Loginet Società cooperativa di comunicare al ricorrente, entro trenta giorni dalla ricezione del presente provvedimento, i dati personali (diversi da quelli sensibili contenuti nella cartella sanitaria e di rischio di cui in premessa) riferibili all´interessato, le modalità e la logica del trattamento e i soggetti o le categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza, fornendo riscontro secondo le modalità previste dall´art. 10 del Codice;

b) dichiara non luogo a provvedere sul ricorso con riferimento ai dati – di carattere sensibile – già comunicati all´interessato;

c) dichiara non luogo a provvedere sul ricorso in ordine alla richiesta di conoscere gli estremi identificativi del titolare e del responsabile del trattamento, l´origine e le finalità del trattamento;

d) dichiara inammissibili le richieste avanzate nel corso del procedimento;

e) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 250,00 da addebitarsi a Loginet Società cooperativa che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.

Il Garante, nel chiedere a Loginet Società cooperativa, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 26 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia