g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 31 agosto 2023 [9965614]

Provvedimento del 31 agosto 2023 [9965614]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9965614]

Provvedimento del 31 agosto 2023

Registro dei provvedimenti
n. 522 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX nei confronti di Marcozzi Brand s.r.l. (già Marcozzi Gabriele & C. s.n.c.), che all’epoca dei fatti aveva incaricato della sorveglianza sanitaria il dott. Doriano Duca in qualità di medico competente;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria.

Nell’ambito di un’istruttoria aperta nei confronti di Marcozzi Brand s.r.l. (già Marcozzi Gabriele & C. s.n.c., di seguito, la Società) a seguito della presentazione di un reclamo ai sensi dell’art. 77 del Regolamento da parte del sig. XX con il quale sono state lamentate presunte violazioni del Regolamento in relazione al trattamento di dati effettuato mediante un giudizio di inidoneità allo svolgimento dell’attività lavorativa, l’Autorità ha ritenuto di richiedere informazioni in merito ai fatti oggetto di reclamo all’allora medico competente della Società, dott. Doriano Duca (di seguito, medico competente).

In particolare, a seguito della formulazione di una richiesta di informazioni da parte dell’Autorità il 17 gennaio 2020, il medico competente il 13 febbraio 2020 ha dichiarato che:

ha “svolto, per conto della ditta «Marcozzi Gabriele & C. S.n.c.», all’epoca dei fatti inerenti il [reclamante], attività di medico competente ai sensi del D. Lgs. 81/08 e quindi preposto all’attività di sorveglianza sanitaria” (nota 13.2.2020 cit., p.1);

“risulta che la predetta ditta «Marcozzi Gabriele & C. S.n.c.» abbia partecipato ad un avviso pubblico della Regione Marche […] per la concessione di contributi per l’occupazione di disabili” e che “la Regione Marche ha fornito alla predetta ditta […] l’elenco pubblico dei nominativi dei disabili da cui le aziende dovevano attingere i soggetti da includere nella domanda di partecipazione al bando” (nota cit., p.1);

“tra i nominativi disponibili, risulta che l’azienda abbia interpellato il [reclamante], il quale, nell’aspettativa di poter essere selezionato, ha spontaneamente consegnato alla ditta «Marcozzi Gabriele & C. S.n.c.» alcuni documenti di propria competenza” (nota cit., p.1);

“per una verifica sommaria della compatibilità delle condizioni fisiche della persona rispetto alla prevista mansione impiegatizia da svolgere in concreto, la ditta «Marcozzi Gabriele & C. S.n.c.» con mail inviata in data 23/1/2018 ha richiesto allo scrivente Consulente un parere preventivo” (nota cit., p.1);

“il sottoscritto, esaminando la documentazione allegata alla mail, costituita da: - iscrizione agli elenchi di cui alla L. 68/99 – verbale di invalidità civile Asl del 3/1/2017 con diagnosi di menomazioni – verbale di invalidità civile Asl del 3/1/2017 con omissis – verbale centro medico legale Inps Fermo del 10/7/2017, ha ritenuto, sulla base delle patologie indicate nei suddetti verbali, di dover esprimere un preventivo parere di controindicazione anche rispetto alla mansione impiegatizia” (nota cit., p.1);

“detto parere, di carattere eminentemente consulenziale, è stato reso con mail dello stesso 23/1/2018” (nota cit., p.1);

“conferma di non aver mai avuto contatti diretti con il [reclamante] e di non disporre di alcuna cartella sanitaria di pertinenza del soggetto” (nota cit., p.1).

A seguito di una richiesta di ulteriori chiarimenti dell’11 febbraio 2021, in data 11 marzo 2021 il medico competente ha dichiarato che:

- “il sottoscritto […] svolge le visite dei candidati solamente dietro specifico incarico del datore di lavoro. Nel caso in esame, la società Marcozzi Gabriele & C. s.n.c. non ha mai incaricato il sottoscritto di visitare il [reclamante], essendosi limitata a richiedere semplice consulenza sulla base della documentazione [inviata]” (v. nota 11.3.2021, cit., p. 1);

- “dopo aver ricevuto la documentazione [dalla Società] il sottoscritto aveva inviato il proprio parere consultivo di controindicazione delle patologie […] anche per l’attività impiegatizia. Tale parere consultivo era stato inoltrato alla società Marcozzi Gabriele & C. s.n.c. con […] mail del 23 gennaio 2018 e, da tale data in poi, il sottoscritto non ha più ricevuto né altre richieste di consulenza né alcuna specifica richiesta di sottoposizione a visita medica del [reclamante]” (v. nota cit., p. 1);

- “il [reclamante], per ogni doglianza, avrebbe potuto avvalersi, nei confronti della società Marcozzi, dello specifico strumento di tutela previsto dall’art. 41 comma 9 D. Lgs. 9/4/2008 n. 81” (v. nota cit., p. 1).

Il 14 marzo 2022, a seguito di una richiesta di ulteriori chiarimenti inviata da questo Dipartimento, in data 1° febbraio 2022, il medico competente ha dichiarato che:

- la Società “con mail del 23/1/2018, aveva richiesto allo scrivente Consulente un parere di massima sulla possibilità di includere, nella domanda di partecipazione al bando pubblico regionale, anche il [reclamante], peraltro corredando la mail della seguente documentazione ricevuta dal [reclamante]: Iscrizione agli elenchi di cui alla L. 68/99; Verbale di invalidità civile Asl del 3/1/2017 con diagnosi delle menomazioni; Verbale di invalidità civile Asl del 3/1/2017 con omissis; Verbale centro medico legale Inps Fermo del 10/7/2017” (v. nota cit., p. 1);

- “pertanto, quale consulente medico della ditta Marcozzi, sulla base delle risultanze indicate nei suddetti verbali (n.b.: ricevuti via mail dalla cliente e non dal [reclamante]) il sottoscritto aveva ritenuto di dover esprimere, rispetto al quesito posto, un sommario parere di controindicazione all’inserimento del nominativo del [reclamante] nel bando regionale e ciò anche per la mansione impiegatizia” (v. nota cit., p. 1);

- “sono stati consultati solo i dati forniti dalla ditta Marcozzi e tale consultazione, non richiesta dal sottoscritto, è avvenuta esclusivamente nell’ambito e per le finalità del rapporto professionale sopra illustrato” (v. nota cit., p. 2);

- “come risulta dall’esposto presentato dal [reclamante] in data 29 marzo 2019, […] lo stesso [reclamante] ha sì inviato contestazioni alla società Marcozzi nelle date del 26 gennaio 2018 (mail) e del 15 maggio 2018 (pec), ma tuttavia non ha mai ritenuto di avvalersi della precitata tutela specifica accordatagli dall’art. 41 comma 9 D. Lgs. 9/4/2008 n. 81” (v. nota cit., p. 2).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni del medico competente.

In data 11 aprile 2022, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione al medico competente delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 9 (anche con riferimento alle specifiche discipline di settore applicabili, in particolare d. lgs. n. 81/2008 e l. n. 68/1999), 14 del Regolamento.

Con gli scritti difensivi inviati in data 9 maggio 2022, il medico competente ha dichiarato che:

- “la vicenda prende le mosse da un’informativa mail ricevuta dal Dott. Doriano Duca in data 22/1/2018 dalla ditta Marcozzi, cui detto professionista aveva risposto il giorno seguente” (v. nota 9.5.2022, p. 1);

- “trattandosi di invito generico a prendere visione del file allegato […] prima dell’apertura era impossibile conoscerne il contenuto, che ben poteva essere un semplice dato di contatto” (v. nota cit., p. 1);

- “ancora a gennaio 2018 la normativa applicabile in materia di protezione dei dati personali non era il Regolamento 2016/679, in quanto entrato in vigore il successivo 25 maggio 2018, bensì il precedente D. Lgs. 196/2003” (v. nota cit., p. 2);

- “a tal riguardo, il Garante, con autorizzazione n. 1/2016, che appunto era in vigore a gennaio 2018, aveva consentito il trattamento dei dati sensibili anche con comunicazione degli stessi, tra l’altro, a liberi professionisti ed altri soggetti (cfr. articolo 7 dell’autorizzazione) e, tra le categorie di dati compresi nel permesso, erano certamente contemplati anche quelli di cui alla lettera c) del punto 4), ovvero gli stessi dati trattati dal dott. Duca, nell’occasione, a gennaio 2018, il tutto nel rispetto delle finalità contemplate al punto 3) dell’autorizzazione citata, ossia «… ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro…»” (v. nota cit., p. 2);

- “solamente a marzo 2019 il Garante, rispondendo al quesito specifico posto dalla Società Italiana di Medicina del Lavoro […] aveva definitivamente dichiarato che il medico competente è autonomo titolare dei dati” (v. nota cit., p. 2);

- “a dimostrazione dell’incertezza sulla qualifica del medico competente – se titolare o mero responsabile del trattamento dei dati – è lo stesso Garante che, nella relazione presentata agli Organi parlamentari nell’anno 2021, ha confermato la suddetta pregressa incertezza interpretativa poi superata solo con la suddetta nota del 19/3/2019” (v. nota cit., p. 2);

- “quindi, fino a marzo 2019, in base alle norme allora in vigore e costantemente applicate, il medico competente era ritenuto solamente responsabile del trattamento dei dati per conto dell’azienda cliente, la quale era invece considerata pacificamente la sola ed esclusiva titolare del trattamento dei dati nonché beneficiaria delle deroghe di cui all’art. 26 comma 4 lettera d) del D. Lgs. 196/2003” (v. nota cit., p. 2);

- “pertanto, in riferimento alla «base giuridica» […] si può affermare la non applicabilità ratione temporis della vicenda in esame all’intero Regolamento e quindi agli articoli contestati” (v. nota cit., p. 2);

- “quanto poi all’aver omesso di fornire all’interessato le informazioni di cui all’art. 14 del Regolamento […] valgono le stesse considerazioni […] di inapplicabilità della norma ritenuta violata” (v. nota cit., p. 2);

- con riferimento all’art. 83, par. 2, del Regolamento si sottolinea “l’esiguità, la mancanza di dolo e l’unicità del fatto contestato” (v. nota cit., p. 3).

Nel prospetto degli elementi da fornire all’Autorità per le valutazioni di cui all’art. 83, par. 2 del Regolamento allegato agli scritti difensivi il medico competente ha inoltre dichiarato che:

- “la natura della documentazione allegata alla mail del[la Società] del 22/1/2018 si è potuta verificare solo dopo l’arrivo della mail e solo dopo l’apertura dei files richiamati”;

- “nella denegata e non creduta ipotesi in cui si dovesse riconoscere […] la commissione di una violazione, il fatto è certamente involontario ed assai lieve trattandosi di: - un unico trattamento di mera visione della documentazione sanitaria fornita spontaneamente dall’interessato (unico soggetto di cui sono stati trattati i dati personali) al[la Società] ed allegata alla mail ricevuta dal dott. Duca”;

- “non essendovi stata nessun’altra tipologia di trattamento e considerato che gli stessi dati sono stati cancellati, la gravità, sempre mai sussistente, si ritiene oggettivamente minima”;

- “la durata del trattamento è stata di un solo giorno in quanto la documentazione non è stata richiesta ma è pervenuta unilateralmente a mezzo mail il giorno 22/1/2018 e la risposta è del giorno successivo”;

- “un unico interessato è stato coinvolto nel processo di trattamento”;

- “la ipotizzata violazione non può che avere chiaramente carattere colposo”;

- “dopo questo unico trattamento effettuato i dati sono stati cancellati”;

- “il dott. Doriano Duca era già in possesso di procedure di gestione dei dati personali ai sensi del D. Lgs. 196 del 2003 per assicurare la tutela degli stessi. Con l’entrata in vigore del Reg. UE 2016/679 ha adottato ulteriori procedure che comprendono procedure interne, istruzioni operative, formazione degli autorizzati al trattamento per conto del titolare, documentazione informativa per gli interessati, moduli per il rilascio del consenso al trattamento dei rispettivi dati personali, idonei sistemi per la conservazione dei dati”;

- “il dott. Doriano Duca ha sempre cooperato con l’autorità […], ha assecondato tutte le richieste ricevute e risposto puntualmente ad ogni quesito postogli, dimostrando che non vi è stato alcun effetto negativo”;

- “alla data dell’evento, in vigenza del D. Lgs. 196/2003, i dati trattati, di origine sanitaria, rientravano tra i cosiddetti «dati sensibili», allo stato attuale sono stati riclassificati in «dati particolari»”;

- “l’Autorità è venuta a conoscenza del fatto contestato a seguito del reclamo presentato dall’interessato, ma solo con la normativa/interpretazione successiva al fatto, lo scrivente, che comunque non è più in possesso dei dati, può essere considerato titolare”;

- “non sono stati emessi provvedimenti correttivi da parte del Garante”;

- “nella vicenda non vi sono stati vantaggi per il dott. Duca né danni per l’interessato”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che il medico competente, in qualità di titolare, ha effettuato alcune operazioni di trattamento riferite al reclamante che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In particolare, è emerso che il dott. Duca, incaricato dalla Società di effettuare l’attività di sorveglianza sanitaria ai sensi dell’art. 41 del d. lgs. n. 81 del 2008, in qualità di medico competente, contattato dalla Società per una pre-valutazione della documentazione sanitaria del reclamante nell’ambito di una procedura di selezione per tirocini formativi finalizzati all’assunzione ai sensi della L. 68/1999 presso la stessa, a seguito della trasmissione tramite comunicazione elettronica effettuata in data 22 gennaio 2018, ha trattato, in qualità di titolare del trattamento (v. art. 4, comma 1, lett. f) Codice nella versione precedente alle modifiche apportate dal d. lgs. n. 101 del 2018, definizione oggi contenuta nell’art. 4 (7) del Regolamento), dati sensibili del reclamante (i.e. tra gli altri i dati sanitari contenuti nella relazione della Commissione medica per l’accertamento dell’invalidità, anche nella versione priva di omissis) senza fornire la necessaria informativa all’interessato.

Si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

In merito al ruolo rivestito dal medico competente è necessario precisare che il Regolamento, quanto alla individuazione dei ruoli di titolare (“controller”; ex art. 4, n. 7 e 24) e responsabile (“processor”; ex art. 4, n. 8 e 28) ed alla distribuzione della relativa responsabilità, si pone in linea di continuità con quanto già prefigurato nella Direttiva 95/46/CE, quindi con quanto recepito con il Codice nella versione precedente alle modifiche introdotte con il d. lgs. n. 101 del 2018.

È infatti consolidato l’orientamento dell’Autorità (ben più risalente rispetto al 2019, a differenza di quanto indicato dal medico competente negli scritti difensivi) in merito alla posizione di autonomo titolare del medico competente relativamente ai trattamenti volti a valutare l’idoneità alla mansione del lavoratore (si veda per esempio provv. 27 aprile 2016, n. 194, doc. web n. 5149198 su www.garanteprivacy.it; ma v. pure, con particolare riguardo alla tenuta delle cartelle sanitarie e di rischio da parte del medico competente e alla diversa attività di tenuta e aggiornamento dei fascicoli personali dei dipendenti da parte del datore di lavoro, le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro, doc. web n. 1364939).

Il medico competente, infatti, è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori, ma solo per le finalità indicate dalla legge di settore e nella specifica cornice delineata dalla stessa legge di settore.

Il medico competente che, dopo avere trattato dati sanitari, ha effettuato e concluso una valutazione di inidoneità, ha omesso di fornire all’interessato le informazioni relative alle caratteristiche essenziali del trattamento dei dati ottenuti dalla Società, in violazione, quindi, di quanto previsto dall’art. 13, comma 4 del Codice nella versione precedente alle modifiche apportate dal d. lgs. n. 101 del 2018 (“se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione”), ora riprodotto dall’art. 14 del Regolamento, che costituisce diretta espressione del principio di trasparenza (v. art. 5, par. 1, lett. a) del Regolamento).

Considerati, infine, i chiarimenti prestati dal medico competente con gli scritti difensivi con riguardo alla prospettata violazione degli artt. 11 e 26 del Codice nella versione antecedente alle modifiche apportate dal D. Lgs. n. 101 del 2018 (oggi corrispondenti all’art. 5 par. 1 lett. a), principio di liceità, e art. 9 del Regolamento), contenuta nella notifica di violazione dell’11 aprile 2022, non sussistono gli estremi per adottare provvedimenti con riferimento a tale specifico profilo oggetto di contestazione e si ritiene, dunque, di archiviare la predetta notifica nella parte riguardante tale specifico profilo oggetto di contestazione.  

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal medico competente, e segnatamente il trattamento di dati relativi alla salute del reclamante in assenza di informativa, risulta infatti illecito, nei termini su esposti, in relazione all’art. 13 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi corrispondente all’art. 14 del Regolamento, che costituisce diretta espressione del principio di trasparenza, art. 5, par. 1, lett. a) del Regolamento).

Alla luce delle considerazioni sopra formulate, tenuto conto che l’illiceità del trattamento in questione è stata accertata in vigenza delle disposizioni del Regolamento e del d.lgs. n. 196/2003 come novellato dal d.lgs. 101/2018, alle stesse deve farsi riferimento per i profili procedurali del presente procedimento, per effetto dell’avvenuta abrogazione dei riferimenti normativi antecedenti.

In relazione alla fattispecie in esame, deve osservarsi che l’assenza, allo stato, di precedenti specifici a carico del medico competente, il carattere episodico della violazione, il numero di interessati coinvolti (pari a uno), costituiscono tutti elementi che inducono a qualificare l’infrazione come “violazione minore” (art. 83, par. 2, e Considerando 148 del Regolamento). 

Si ritiene, quindi, che, relativamente al caso in esame, occorra ammonire il titolare del trattamento, ai sensi degli artt. 143 del Codice e 58, par. 2, lett. b), del Regolamento, per aver omesso di fornire all’interessato le informazioni relative alle caratteristiche essenziali del trattamento dei dati ottenuti dalla Società, in violazione, quindi, di quanto previsto dall’art. 13, comma 4 del Codice nella versione precedente alle modifiche apportate dal d. lgs. n. 101 del 2018, ora riprodotto dall’art. 14 del Regolamento, nei termini indicati in motivazione.

Si rappresenta, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Si informa, infine, che, come da disposizioni normative e regolamentari dell’Ufficio (art. 154-bis, comma 3, del Codice; art. 37 del Regolamento del Garante n. 1/2019), copia del presente provvedimento verrà pubblicata sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento rileva l’illiceità del trattamento effettuato dal dott. Doriano Duca, nato a XX, il XX, residente in XX, C.F. XX, descritto nei termini di cui in motivazione,  per la violazione dell’art. 13 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi riprodotto dall’art. 14 del Regolamento, che costituisce diretta espressione del principio di trasparenza, art. 5, par. 1, lett. a) del Regolamento);

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento ammonisce il dott. Doriano Duca, quale titolare del trattamento in questione, per avere trattato i dati relativi alla salute del reclamante in assenza di informativa quindi in violazione dell’art. 13 del Codice nella versione antecedente alle modifiche apportate dal d. l.gs n. 101 del 2018 (oggi riprodotto dall’art. 14 del Regolamento, che costituisce diretta espressione del principio di trasparenza, art. 5, par. 1, lett. a) del Regolamento);

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9965614
Data
31/08/23

Argomenti

Lavoro e previdenza Informativa Dati sanitari

Tipologie

Prescrizioni del Garante

Vedi anche (4)