Il Garante della privacy sanziona il datore di lavoro che chiama il medico della dipendente
Il corretto trattamento dei dati sanitari dei dipendenti è ormai noto ai più, ma non a tutti. Un recente provvedimento del Garante per la protezione dei dati personali ha acceso i riflettori su un caso emblematico: un’azienda è stata sanzionata per aver contattato direttamente il medico di base di una dipendente per ottenere informazioni sulla sua salute.
Il commento ci darà l’opportunità di affrontare il limite tra il legittimo interesse del datore di lavoro nella gestione del personale e il diritto dei lavoratori alla riservatezza.
L’indagine del Garante è partita da un reclamo della dipendente, che ha denunciato un’interferenza indebita nella gestione delle proprie certificazioni mediche. In particolare, il rappresentante legale della Montini Group ha contattato telefonicamente il medico di base della lavoratrice, ricevendo da quest’ultimo informazioni che mettevano in dubbio la legittimità delle richieste di malattia della dipendente.
Nello specifico la dipendente insisteva nel richiedere la visita medica del medico aziendale ai sensi dell’articolo 41, comma 2, lett c) D. Lgs. 81/2008 (in tema di “Sorveglianza Sanitaria”, testualmente, “visita medica su richiesta del lavoratore”). Il Medico Competente non riteneva meritevoli di accoglimento le richieste della dipendente. In quel frangente il legale rappresentante di parte datoriale contattava direttamente il medico di medicina generale. Questa comunicazione veniva giudicata dal Garante come una violazione del GDPR e della normativa nazionale, in quanto il datore di lavoro non è legittimato a raccogliere direttamente informazioni sulla salute del dipendente al di fuori delle procedure previste dalla normativa.
A nulla è valso – e varrebbe, in termini generali – provare a rappresentare che la telefonata sia stata effettuata al solo fine di rassicurare il medico condotto che al rientro dal periodo di malattia la dipendente sarebbe stata nuovamente visitata. Invero, la normativa renderebbe tale comunicazione del tutto superflua e, comunque, in contrasto con i principi di cui all’articolo 5 del GDPR. Se poi, come sembra essere accaduto in questo caso, la telefonata si sia spinta addirittura sino a valutazioni e/o considerazioni relative alla bontà delle certificazioni mediche rilasciate, appare del tutto evidente che un trattamento dei dati della dipendente di tale sorta sia illecito.
(Nella foto: l'Avv.Domenico Battaglia, docente al Corso di alta formazione su Privacy e Gestione del personale)
L’Autorità ha pertanto sanzionato la Società per la violazione del principio di liceità dei trattamenti e di minimizzazione dei dati anche alla luce di quanto prescritto dalla disciplina di settore in materia di tutela della salute e della sicurezza nei luoghi di lavoro (D. Lgs. 9/4/2008, n. 81) e di accertamenti sanitari sullo stato del dipendente (art. 5, l. 20/5/1970, n. 300).
Secondo la normativa appena richiamata, il datore di lavoro può verificare lo stato di malattia di un dipendente esclusivamente attraverso i servizi ispettivi dell’INPS. Al rientro da un periodo di malattia, secondo le prescrizioni dei cui all’articolo 41, comma 2, lett e-ter) D. Lgs. 81/2008, il medico aziendale può ritenere necessario effettuare una visita al fine di valutare l’idoneità alla mansione specifica. Fuori da questi ambiti, il datore di lavoro non può improvvisarsi “Sherlock Holmes” per individuare indizi a discapito dei propri dipendenti.
In questo caso, Montini Group ha tentato di ottenere informazioni direttamente dal medico di base, senza alcuna autorizzazione, andando così oltre i limiti imposti dalla legge. Il provvedimento ha portato all’applicazione di una sanzione amministrativa di € 6.000,00 - nei confronti dell’azienda, oltre alla pubblicazione dell’ordinanza sul sito del Garante. uesto rappresenta un chiaro segnale per tutte le imprese: la protezione dei dati personali, in particolare delle informazioni sanitarie, deve essere gestita con estrema attenzione e nel rispetto delle normative vigenti.
