Per il Garante viola la privacy il datore che contatta il sanitario che ha certificato l'assenza per malattia del dipendente

di Lucia Izzo - Il datore di lavoro può, anche al fine di prevenire o contrastare condotte assenteistiche, effettuare controlli sulle assenze, tuttavia tale attività va svolta osservando i principi di pertinenza e non eccedenza rispetto alle finalità perseguita e sulla base di una norma di legge o regolamento, qualora comporti una comunicazione di dati personali del dipendente. Pertanto, non essendo previsto dalla disciplina vigente, al datore di lavoro non è consentito svolgere attività di accertamento direttamente presso il medico curante che redige la certificazione sanitaria per via telefonica.


Va dunque dichiarato illecito per violazione della privacy il trattamento di dati personali effettuato dal datore di lavoro a mezzo di contatto telefonico con il sanitario che ha certificato lo stato di assenza per malattia del dipendente, al fine di ricevere informazioni relative al paziente.


Questo è quanto precisato dal Garante per la protezione dei dati personali nella decisione n. 187 del 10 aprile 2014 (qui sotto allegata) riguardante precisazioni in relazione al tema dei controlli sulle assenze per malattia.


L'interessato, con reclamo, ha lamentato che il responsabile della gestione del personale civile del Tribunale militare di Verona (presso il quale il reclamante prestava servizio), ponendosi "al di fuori di ogni normativa attinente la gestione del personale in malattia", aveva contattato telefonicamente il proprio medico di base "contestando il fatto che [gli] fosse stato concesso un ulteriore periodo di malattia".


Nella vicenda rappresentata, il Presidente del Tribunale aveva delegato il "direttore della cancelleria, responsabile della gestione del personale civile […] nonché responsabile del trattamento dei dati personali", ad accertare la veridicità materiale dei certificati rilasciati dal medico curante del reclamante, non avendo ancora quest'Ufficio la possibilità di riceverli per via telematica. Di conseguenza il responsabile del personale aveva contattato il medico che gli aveva poi confermato l'autenticità dei certificati.


Il reclamante sostiene l'illiceità della comunicazione effettuata, ritenuta "ulteronea", poichè il datore di lavoro avrebbe potuto verificare l'autenticità dei certificati presso l'INPS, in quanto questi sono inviati all'Istituto previdenziale, debitamente muniti di numero di protocollo.

La doglianza è condivisa dal Garante, il quale rappresenta che il datore di lavoro può legittimamente attivare gli strumenti di controllo previsti dalla disciplina di settore anche al fine di prevenire o contrastare condotte assenteistiche (ad esempio visite fiscali, contestazione diretta al dipendente, accertamenti sanitari,controlli sulle assenze) nonché rivolgersi all'autorità giudiziaria competente al fine di verificare l'attendibilità della certificazione prodotta dal lavoratore ed accertare eventuali illeciti.


Tuttavia, in base alla disciplina in materia di protezione dei dati personali, tale attività (da svolgersi comunque nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite) qualora comporti una comunicazione di dati deve trovare fondamento in una norma di legge o di regolamento.


In proposito, invece, non risultano contemplate dalla disciplina vigente attività di accertamento svolte dal datore di lavoro direttamente presso il medico che redige la certificazione sanitaria (semmai, precisa il Garante, in aggiunta agli strumenti su indicati, è possibile effettuare una segnalazione all'ordine professionale di appartenenza del medico).


Va dunque ritenuto illecito il trattamento dei dati personali del reclamante effettuato nell'ambito della comunicazione telefonica intercorsa tra il responsabile del personale del Tribunale militare e il medico che aveva redatto le certificazioni sanitarie riferite al reclamante stesso.


Sulla base di tale decisione, il Ministero della Difesa ha raccolto l'invito del Garante ad adottare opportune misure, idonee a conformare il trattamento dei dati personali alle disposizioni previste dal Codice, con particolare riferimento alla comunicazione di dati personali dei dipendenti.


Sul punto, infatti, il Ministero ha adottato una circolare (qui sotto allegata) dell'11 giugno 2014 "Seguito circolare n. 10078 del 12 febbraio 2014 (assenze per malattia)", con la quale, a fronte delle precisazioni del Garante, considerato che la disciplina vigente non risulta contemplare attività di accertamento svolte dal datore di lavoro direttamente presso il medico che redige la certificazione sanitaria, ha raccomandato di evitare attività di controllo per via telefonica e comunque di non trattare dati personali nel corso di eventuali comunicazioni telefoniche.


Si ringrazia il sig. Franco Cresi per la cortese segnalazione

Garante Privacy, decisione n. 187/2014
Ministero della Difesa, Circolare 11/6/2014

Altri articoli che potrebbero interessarti:
In evidenza oggi: