Azienda, medico di base, privacy dei dipendenti: il Garante per la Protezione dei Dati Personali ha emesso un provvedimento che ha portato una sanzione significativa per un’impresa di pulizie. La motivazione? Il datore di lavoro ha cercato di ottenere informazioni direttamente dal medico di base della dipendente senza alcuna autorizzazione.
Azienda, medico di base, privacy dei dipendenti: la vicenda
Il provvedimento è scaturito da un reclamo presentato dalla dipendente dell’azienda, che ha denunciato presunte violazioni relative al trattamento dei dati personali in merito al suo stato di salute. In particolare, lamentava il fatto che il datore di lavoro dell’azienda avesse contattato telefonicamente il suo medico di base.
Nello specifico, la reclamante aveva chiesto di essere sottoposta a una visita da parte del medico aziendale, su indicazione del proprio medico di base. La società, dopo aver ricevuto la richiesta, ha contattato telefonicamente il medico competente, il quale ha risposto che la visita non poteva essere effettuata durante il periodo di malattia della dipendente. Successivamente, il datore di lavoro ha chiamato anche il medico di base della dipendente per informarlo della situazione e spiegare che la visita sarebbe avvenuta solo al rientro dalla malattia.
Tuttavia, nella comunicazione telefonica con il medico di base, la società ha discusso anche il contenuto delle richieste della dipendente, inclusa la veridicità delle certificazioni mediche.
Garante: il datore di lavoro non può improvvisarsi Sherlock Holmes chiamando il medico del dipendente
La società ha violato diverse disposizioni del Regolamento GDPR riguardo al trattamento dei dati personali della reclamante. In particolare, secondo il Garante, la telefonata effettuata dal datore di lavoro al medico di base della dipendente ha costituito una violazione della privacy, in quanto il datore di lavoro non ha il diritto di acquisire informazioni sulla salute del dipendente al di fuori delle procedure specificamente previste dalla normativa. Secondo la legge, infatti, il datore di lavoro può verificare lo stato di malattia di un dipendente solo attraverso i servizi ispettivi dell’INPS.
Il trattamento dei dati personali è stato considerato illecito, poiché non rispondeva alla necessità di adempiere a un obbligo legale e ha violato il principio di minimizzazione dei dati, trattando informazioni non pertinenti e non necessarie rispetto agli scopi dichiarati dalla Società. Inoltre, la comunicazione riguardante lo stato di salute e le certificazioni mediche della dipendente hanno coinvolto dati particolari, trattati senza rispettare le condizioni di liceità previste per il trattamento dei dati relativi alla salute. La Società ha altresì violato le disposizioni in materia di sorveglianza sanitaria, ignorando il fatto che solo il medico competente è legittimato a trattare dati sanitari, nell’ambito della valutazione dell’idoneità alla mansione lavorativa.
Per saperne di più > Sui dati sanitari non si scherza: nuova sanzione del Garante
La sanzione del Garante: l’azienda che contatta il medico di base vìola la privacy
Alla luce delle violazioni accertate, il Garante ha ritenuto necessario comminare una sanzione di euro 6.000, da pagare entro 30 giorni dalla notifica del provvedimento.
Oltre a ciò, ha previsto la pubblicazione del provvedimento sul sito internet dell’Autorità.
In conclusione
Questa vicenda rappresenta un’opportunità per riflettere sulla delicata linea di confine tra il legittimo interesse del datore di lavoro e il diritto alla privacy dei dipendenti, sancito dal GDPR. La violazione dei principi di minimizzazione dei dati, come accaduto in questo caso, evidenzia l’importanza di una gestione oculata e conforme alla legge delle informazioni sensibili. In tale contesto, il datore di lavoro deve assicurarsi di seguire rigorosamente le procedure previste per la raccolta e la gestione dei dati sanitari, per evitare non solo sanzioni pecuniarie, ma anche danni reputazionali.
Inoltre, questa vicenda solleva il tema della necessità di una formazione adeguata per le aziende riguardo al rispetto della privacy, in particolare per quanto riguarda le informazioni sensibili dei dipendenti.
Il provvedimento completo è disponibile qui.
Hai bisogno di supporto nella gestione della conformità al GDPR? Il nostro team di esperti è a tua disposizione!