La diffusione di informazioni relative allo stato di salute di una persona costituisce, nell’ordinamento italiano ed europeo, una materia sottoposta a tutela rafforzata. Per i

lavoratori subordinati, tale protezione assume un rilievo particolare, poiché i dati sanitari possono incidere direttamente sul rapporto di lavoro, sull’accesso alle opportunità professionali e sulla dignità personale. Di regola, rivelare la malattia di un soggetto senza una base giuridica legittima non è consentito e può comportare responsabilità penali, civili e amministrative. Il Regolamento (UE) 2016/679 qualifica i dati relativi alla salute come “categorie particolari di dati personali” (art. 9). Si tratta di informazioni idonee a rivelare lo stato fisico o psichico di una persona, comprese patologie, terapie, disabilità o condizioni cliniche. Il principio generale stabilito dal GDPR è il divieto di trattamento di tali dati, salvo specifiche eccezioni tassativamente previste. La ratio è quella di prevenire discriminazioni, tutelare la dignità della persona e garantire il controllo individuale sulle informazioni più sensibili. Nel contesto lavorativo, la tutela dei dati sanitari si coordina con lo Statuto dei lavoratori, che limita fortemente la possibilità per il datore di lavoro di acquisire e utilizzare informazioni sullo stato di salute del dipendente, salvo quanto strettamente necessario per finalità di idoneità al lavoro e sicurezza. La rivelazione indebita di dati sanitari può integrare diverse fattispecie di reato, a seconda del soggetto che compie la condotta. L’art. 622 del Codice penale punisce chi, avendo notizia di un segreto per ragioni di professione o ufficio, lo rivela senza giusta causa. La norma si applica, ad esempio, a medici, infermieri, psicologi e altri professionisti sanitari. La pena prevista è la reclusione fino a un anno o la multa e il reato è perseguibile a querela della persona offesa. Ai sensi dell’art. 326 del Codice penale, il pubblico ufficiale o l’incaricato di pubblico servizio che divulga informazioni riservate apprese per ragioni d’ufficio è soggetto a sanzioni più gravi. Rientrano in questa categoria, ad esempio, i dipendenti del Servizio sanitario nazionale o di enti pubblici. L’art. 167 del Codice in materia di protezione dei dati personali, come modificato dal GDPR, prevede la reclusione da uno a tre anni quando il trattamento illecito di dati sanitari è effettuato con dolo specifico (profitto o danno) e provoca un nocumento concreto all’interessato. L’art. 82 del GDPR riconosce il diritto al risarcimento per chi subisce un danno materiale o immateriale a seguito di una violazione della normativa. Nel rapporto di lavoro, ciò può tradursi in pregiudizi alla reputazione, alla carriera o alla serenità personale del dipendente. Il Garante per la protezione dei dati personali può irrogare sanzioni amministrative anche di importo elevato nei confronti di soggetti pubblici e privati. Numerosi provvedimenti hanno ribadito il divieto di diffusione di dati sanitari, ad esempio tramite pubblicazione online di documenti non anonimizzati.  Quando la comunicazione è lecita🡪 Le eccezioni al divieto sono limitate e devono essere interpretate restrittivamente. Vediamole Consenso dell’interessato: deve essere libero, specifico, informato e inequivocabile (art. 9 GDPR). Finalità di cura: i dati possono essere trattati e comunicati tra professionisti sanitari nei limiti necessari alla diagnosi e terapia. Obblighi di legge: ad esempio in materia di sicurezza sul lavoro o medicina del lavoro. Interessi vitali: nei casi di emergenza in cui l’interessato non può esprimere il consenso. Difesa in giudizio: nei limiti della stretta necessità e proporzionalità. Giusta causa (art. 622 c.p.): quando la rivelazione è indispensabile per tutelare un interesse di rango superiore. In ogni caso, resta fermo il divieto di diffusione indiscriminata (ossia comunicazione a una pluralità indeterminata di soggetti), che è quasi sempre illecito. Implicazioni pratiche per i lavoratori. Nel contesto lavorativo il datore di lavoro non può divulgare le ragioni sanitarie dell’assenza di un dipendente; i colleghi non sono autorizzati a comunicare a terzi informazioni sulla salute altrui; i documenti aziendali devono essere gestiti in modo da evitare qualsiasi diffusione indebita di dati sanitari; il lavoratore ha diritto a che le informazioni sulla propria salute siano trattate con riservatezza assoluta. Anche comportamenti apparentemente innocui — come spiegare a terzi la malattia di un collega — possono integrare una violazione rilevante. L’ordinamento stabilisce un principio chiaro: i dati sulla salute appartengono esclusivamente all’interessato. Ogni comunicazione o trattamento deve fondarsi su una base giuridica specifica, essere limitato allo stretto necessario e rispettare i principi di liceità, correttezza e proporzionalità. La buona fede o l’assenza di intento lesivo non escludono la responsabilità quando si tratta di dati particolarmente protetti. Per questo motivo, nel rapporto di lavoro è essenziale adottare comportamenti improntati alla massima riservatezza.

Approfondimento. Riassumendo🡪 Le informazioni relative alla patologia del lavoratore costituiscono dati personali relativi alla salute, soggetti a un regime di protezione particolarmente rigoroso. Il trattamento dei dati nel contesto lavorativo deve rispettare il principio di minimizzazione: si trattano solo i dati strettamente necessari; il principio di finalità: i dati devono essere usati solo per scopi legittimi e specifici e il principio di riservatezza: accesso limitato ai soli soggetti autorizzati. Nel caso della malattia il datore di lavoro deve conoscere la prognosi ma non la diagnosi. L’addetto del personale che riceve notizia dell’assenza del lavoratore, se autorizzato, può registrare l’assenza per malattia; gestire gli adempimenti amministrativi (es. certificazione INPS) e comunicare l’assenza ai fini organizzativi. Non sono consentite le seguenti attività: diffusione della patologia a colleghi o terzi; annotazione o conservazione di dati sanitari non necessari; utilizzo delle informazioni per finalità diverse da quelle lavorative; comunicazione della diagnosi al datore, se non richiesta dalla normativa; inserimento dei dati sanitari in sistemi accessibili a soggetti non autorizzati. Alcuni comportamenti apparentemente “informali” possono integrare violazioni: a) Comunicazione ai colleghi 🡪 Rivelare la patologia ad altri dipendenti costituisce trattamento illecito di dati sanitari. b) Inserimento della diagnosi in documenti aziendali🡪 Annotare la malattia in sistemi condivisi viola i principi di minimizzazione e sicurezza. c) Comunicazione non necessaria al datore 🡪Trasmettere la diagnosi senza base giuridica eccede le finalità lecite. d) Uso improprio del dato 🡪Valutazioni personali o professionali basate sulla malattia sono illegittime. e) Conservazione informale 🡪Appunti personali o e-mail contenenti dati sanitari non autorizzati sono vietati. f) Comunicazione esterna 🡪Diffondere informazioni a soggetti estranei costituisce violazione grave.  Conseguenze giuridiche delle violazioni. Le violazioni possono comportare: a) Sanzioni amministrative. Ai sensi dell’art. 83 GDPR, anche di importo rilevante. b) Responsabilità disciplinare. Fino al licenziamento nei casi più gravi. c) Responsabilità civile. Obbligo di risarcire il danno non patrimoniale derivante dalla lesione della riservatezza. d) Responsabilità penale. Nei casi previsti dall’art. 167 del Codice Privacy, in presenza di trattamento illecito con danno.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 351-6688108

• contattarci via e-mail: azionesindacale.fvg@gmail.com