Ritorniamo su un argomento già trattato perché la confusione regna sovrana. Una recente pronuncia del Garante per la Protezione dei Dati Personali segna un punto fermo nel delicato equilibrio tra organizzazione aziendale e tutela della privacy: I datori di lavoro non

posso no svolgere “colloqui di rientro” post-malattia con i dipendenti per raccogliere informazioni sul loro stato di salute. Si tratta di un trattamento illecito dei dati personali, anche quando perseguito con finalità apparentemente nobili, come il reinserimento lavorativo. La decisione, sfociata in una sanzione amministrativa di 50.000 euro nei confronti di una società metalmeccanica, sottolinea come le buone intenzioni non bastino a legittimare violazioni del Regolamento UE 2016/679 (GDPR). Il provvedimento ha anche imposto la cancellazione immediata di tutti i dati raccolti illecitamente attraverso la procedura denominata “Return to Work Interview”.

Il fatto: colloqui di rientro gestiti dai superiori. Dal 2020, l’azienda coinvolta aveva introdotto una procedura che prevedeva, al rientro da un’assenza per malattia o infortunio, un colloquio tra il dipendente e il suo diretto superiore, durante il quale veniva compilato un modulo con informazioni sullo stato di salute, le difficoltà di reinserimento e altri aspetti personali. Tale documento veniva successivamente archiviato presso l’ufficio del personale, con conservazione fino a dieci anni.  Nonostante la giustificazione fornita dall’impresa – ovvero promuovere il benessere organizzativo e la prevenzione – il Garante ha rilevato gravi violazioni dei principi fondamentali del GDPR, in particolare in riferimento al trattamento di dati appartenenti a categorie particolari, ossia i dati sanitari (art. 9 GDPR)🡪  Quattro le violazioni fondamentali del GDPR. Nel motivare la propria decisione, l’Autorità ha individuato quattro profili di illiceità, a conferma di una progettazione non conforme dei processi aziendali: Violazione del principio di trasparenza (art. 5, par. 1, lett. a GDPR): i lavoratori non erano adeguatamente informati sulle modalità del trattamento, sulla sua base giuridica e sui soggetti che vi avrebbero avuto accesso. Assenza di base giuridica legittima (art. 6 e art. 9 GDPR): l’azienda non poteva fondare il trattamento sul consenso del lavoratore, poiché in ambito lavorativo il consenso non è considerato libero. Inoltre, la gestione dei dati sanitari è riservata al medico competente, ai sensi del D.lgs. 81/2008, e non può essere demandata a manager o responsabili di linea. Violazione del principio di minimizzazione (art. 5, par. 1, lett. c GDPR): le informazioni richieste erano sovrabbondanti e non necessarie, spesso già note all’azienda attraverso i certificati medici o altri canali ufficiali. Conservazione sproporzionata dei dati (art. 5, par. 1, lett. e GDPR): i moduli venivano archiviati per dieci anni, senza che esistesse una finalità giustificata per una durata tanto estesa.

Attenzione🡪 Il ruolo esclusivo del medico competente. Secondo l’Autorità, anche qualora il datore di lavoro persegua finalità legittime, come la tutela della salute del dipendente, deve rispettare i canali previsti dall’ordinamento. In particolare, la valutazione dell’idoneità alla mansione e delle condizioni psicofisiche del lavoratore compete esclusivamente al medico competente, in forza dell’art. 41 del D.lgs. 81/2008. La giurisprudenza di merito ha già avuto modo di chiarire che “il datore di lavoro non può sostituirsi al medico competente nella gestione della salute del lavoratore” (Trib. Milano, sent. 1398/2021), pena una grave intrusione nella sfera privata e una violazione dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione Europea (art. 8).

La sanzione e gli obblighi imposti dal Garante. Oltre alla sanzione pecuniaria di 50.000 euro, il Garante ha ordinato all’azienda: la cessazione immediata della procedura “Return to Work Interview”; la cancellazione di tutti i dati raccolti attraverso i moduli di colloquio; il divieto di ulteriore trattamento delle informazioni già archiviate. L’Autorità ha anche ricordato l’obbligo, per tutti i titolari del trattamento, di effettuare un’attenta valutazione preventiva dei rischi, attraverso una Data Protection Impact Assessment (DPIA) quando il trattamento riguarda categorie particolari di dati. Il provvedimento rappresenta un monito per tutte le aziende che trattano dati sanitari senza un quadro giuridico solido. Come evidenziato anche in dottrina (v. G. Pino, “La protezione dei dati personali nel rapporto di lavoro”, in Dir. Lav. Rel. Ind., 2022), “la cultura della compliance non può limitarsi all’adempimento formale, ma deve permeare l’intera architettura organizzativa aziendale”. È quindi essenziale che le imprese: coinvolgano il medico competente per ogni attività connessa alla salute dei lavoratori; limitino il trattamento dei dati personali a quanto strettamente necessario; informino chiaramente i dipendenti sui diritti e finalità del trattamento; **affidino il trattamento solo a soggetti autorizzati e dotati di competenze adeguate. In tempi in cui la digitalizzazione e la gestione dei dati assumono un ruolo sempre più centrale, trascurare gli adempimenti privacy espone l’impresa a sanzioni gravi, danni reputazionali e contenziosi complessi.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

puoi chiamarci: Linea mobile 331-7497940   o contattarci via e-mail. azionesindacale.fvg@gmail.com