Anche l’investigatore privato deve rispettare il principio di minimizzazione del GDPR
Come noto i dati personali di natura sensibile possono essere trattati in presenza di idonee basi giuridiche. Inoltre, è dovere del titolare del trattamento omettere informazioni di dettaglio eccedenti la finalità della raccolta. In questi termini l’Autorità Garante ha ammonito una agenzia di investigazione privata che, incaricata di verificare la correttezza della condotta di una lavoratrice in merito alla fruizione di permessi retribuiti giustificati dalle condizioni di salute della madre, ha riportato nel rapporto investigativo l’indicazione della specifica malattia di cui presumibilmente quest’ultima era affetta.
La vicenda è stata portata all’attenzione del Garante con un reclamo presentato dall’interessata ai sensi dell’art. 77 del GDPR.
L’attività di investigazione privata, autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni) è, di per sé, lecita, ma deve essere esercitata nel rispetto delle norme che la disciplinano e delle disposizioni in materia di protezione dei dati personali.
L’art. 9 del Regolamento UE vieta il trattamento dei dati relativi alla salute, salvo che in specifici casi tassativamente elencati, tra i quali rientra, per quanto qui rileva, la necessità del trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
Il Garante ha ritenuto che, seppure l’incarico investigativo comportava la necessità di accertare se i permessi fossero effettivamente finalizzati all’assistenza della madre, onde le informazioni relative ad un suo possibile stato patologico apparivano conferenti all’oggetto del mandato (art. 9, par. 2, lett. f ), del GDPR), purtuttavia, l’indicazione della specifica malattia non aveva alcuna rilevanza ai fini dell’espletamento degli accertamenti commissionati all’investigatore e la loro ostensione ha quindi comportato la violazione dell’art. 5, comma 1, lett. c ), del Regolamento europeo, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati nel rispetto del principio di “minimizzazione”.
Sulla base dei criteri indicati dall’art. 83 del GDPR, considerando che la condotta aveva esaurito i suoi effetti, che il trattamento di dati personali relativi allo stato di salute era legittimo ancorché eccedente, che il numero di interessati al trattamento era limitato ad uno, che non risultavano eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento, né elementi tali da fare ritenere il carattere doloso della condotta dell’agente, il Garante ha ritenuto che nel caso di specie non ricorressero i presupposti per infliggere una sanzione amministrativa pecuniaria (Provv. 16 settembre 2021, n. 334, doc. web n. 9718933).