Premessa🡪 La gestione delle assenze per malattia da parte del datore di lavoro comporta il trattamento di dati personali sensibili (oggi definiti "dati particolari" ai sensi del Regolamento UE 2016/679, c.d. GDPR). L’identità del lavoratore assente e la motivazione dell’assenza, quando riconducibile a motivi di salute, sono informazioni soggette a tutela rafforzata e la loro comunicazione indebita può costituire una violazione della normativa sulla protezione dei dati personali. 

Tutela della privacy del lavoratore in malattia.

In termini generali il Regolamento (UE) 2016/679 (GDPR) all’art.9   vieta il trattamento dei dati relativi alla salute, salvo specifiche condizioni (es. obblighi di legge, medicina del lavoro). I dati sulla salute (Art. 5 GDPR) devono essere trattati nel rispetto dei principi di liceità, correttezza, minimizzazione, riservatezza e limitazione della finalità. È il Codice Privacy (D.lgs. 196/2003), come modificato dal D.lgs. 101/2018 che inquadra e armonizza le disposizioni del GDPR in Italia. Per entrare subito nel merito delle domande che normalmente riceviamo dai nostri lettori (Gianluca, Anita…), sicuramente il datore di lavoro (o chi lo rappresenta in azienda) non deve comunicare la causa di malattia a soggetti non autorizzati (es. colleghi, altri responsabili non legittimati) e/o esporre pubblicamente la motivazione dell’assenza (es. su bacheche, e-mail di gruppo, turni visibili).  Il personale autorizzato (es. l’incaricato dell’Ufficio Risorse Umane o Servizio del personale) può trattare le informazioni, con accesso limitato, per la sola finalità amministrativa; non può invece (come spesso succede) comunicare al direttore di filiale o il capoufficio che Tizio o Caio sono  in malattia (può e deve comunicare solo che sono assenti, senza specificare la causa della loro assenza. Un altro grave comportamento lo riscontriamo quando un collega sparla della malattia di un altro. Un collega che rivela o discute pubblicamente la situazione medica di un altro dipendente può incorrere in responsabilità disciplinare e civile, oltre a potenziali sanzioni penali se il dato è particolarmente sensibile. Potrebbe configurarsi la diffusione illecita di dati personali ai sensi dell’art. 167 del Codice Privacy. Altra consuetudine pericolosa, per chi la intraprende, è quella di chiedere al lavoratore come sta, cosa ha, o perché è in malattia. Insistere poi con sollecitazioni sul rientro, tempi di guarigione e, ancora peggio, minacciare azioni disciplinari, è un comportamento ad altissimo rischio. 

Da ricordare Possono trattare i dati sanitari del dipendente solo l’ufficio del personale o responsabile del trattamento, se formalmente designato; Il Medico competente o l’INPS, per finalità connesse al controllo dell’assenza o alla sorveglianza sanitaria. I dati non devono essere accessibili a dirigenti, responsabili di reparto, colleghi, consulenti esterni.  

Le sanzioni per violazione della privacy sono pesantissime. Per l’azienda🡪 Fino a €.20 milioni o il 4% del fatturato mondiale annuo (art. 83 GDPR), nei casi più gravi.  Il lavoratore può agire per il risarcimento del danno ex art. 82 GDPR e art. 2050 c.c. (responsabilità aggravata per attività pericolose come il trattamento dati). C’è anche un rischio penale (art. 167 Codice Privacy): Trattamento illecito di dati: reclusione da 6 mesi a 3 anni. Sarebbe buona prassi per le aziende formare periodicamente il personale sulla gestione della privacy in ambito lavorativo, per evitare responsabilità e danni reputazionali.

Le ultime delibere del Garante per la protezione dei dati personali in materia di gestione della malattia dei dipendenti, con un focus sugli obblighi e le garanzie:

Provvedimento del 9 maggio 2024🡪 Il Garante ha sanzionato l’inoltro integrale di un messaggio privato di un dipendente al Direttore Generale, contenente dettagli sulla sintomatologia. Questo è stato giudicato superfluo rispetto alla finalità operativa della riprogrammazione dei turni. Sarebbe bastata una semplice comunicazione sull’assenza stessa, senza specifica motivazione medica.  Provvedimento del 27 novembre 2024. Il Garante ha ribadito che anche la semplice indicazione di “assenza per malattia” è considerata dato relativo alla salute, quindi soggetto a una tutela rigorosa. Questo vale anche se non viene indicata una diagnosi specifica.  Provvedimento del 26 ottobre 2023. Il Garante ha affermato che anche in presenza di fonti pubbliche, non può essere violato il principio di riservatezza. Non è pertanto lecito pubblicare dati sanitari anche “indiretti” riferiti a malattie dei lavoratori senza una base normativa chiara e specifica.  Provvedimento del 23 novembre 2006 & Linee guida (2007, privata). Il lavoratore ha l’obbligo di fornire al datore di lavoro un certificato medico con la sola prognosi (inizio e durata prevista della malattia), mentre la diagnosi rimane riservata all’INPS o agli enti competenti. Se il certificato medico unisce prognosi e diagnosi, il datore di lavoro deve oscurare o non accettare la parte diagnostica.  Provvedimento del 12 ottobre 2023. È legittimo per il datore di lavoro trattare dati sensibili relativi alla salute solo quando: è necessario per adempiere un obbligo legale; è basato su prescrizioni normative o contratti collettivi; **venga rispettata la normativa su sicurezza e medicina del lavoro (ruolo del medico competente).  Sentenza Cassazione del 3 giugno 2024 n. 15439. La Corte di Cassazione ha confermato che il datore di lavoro deve limitarsi a conoscere solo la prognosi confermata dal medico fiscale. Qualsiasi indicazione dalle quali si possa dedurre una diagnosi è illegittima in quanto contrasta con la tutela della privacy. 

Ritorniamo sul caso del lavoratore che diffonde dati sullo stato di malattia di un suo collega

Abbiamo già detto che la diffusione non autorizzata di dati sullo stato di malattia di un collega costituisce una grave violazione della privacy, con conseguenze civili, amministrative, e in alcuni casi anche penali. I dati relativi alla salute sono "categorie particolari di dati personali" ai sensi dell’art. 9 del GDPR. La loro diffusione è vietata salvo specifica base giuridica (consenso esplicito o obbligo legale). Il rischio per il dipendente è una sanzione pecuniarie (art. 83 GDPR). Se il collega lo denuncia e riesce a documentare un danno subito dalla divulgazione della notizia può agire in sede civile per: danno materiale (es. perdita del lavoro, trattamenti non ricevuti, etc.); danno morale/esistenziale (es. disagio, umiliazione, danni alla reputazione, isolamento sul luogo di lavoro). Ricordatevi 🡪il giudice può condannare il responsabile a risarcire i danni anche se si tratta di un collega e non di un datore di lavoro. Il trattamento illecito di dati personali è anche un reato (art. 167 D.lgs. 196/2003). E non finisce qui🡪  Se la diffusione è compiuta da un collega nell’ambito lavorativo, si rischiano anche: **sanzioni disciplinari: richiamo scritto, sospensione, o licenziamento per giusta causa nei casi più gravi. La sanzione è pressoché scontata nei casi di reiterazione o se il collega è incaricato del trattamento (es. RSPP, dirigente, segreteria del personale). 

Come difendersi🡪 Se un lavoratore scopre che un collega ha diffuso dati sulla propria malattia, può: Segnalare l'accaduto al datore di lavoro o all'HR; Sporgere reclamo al Garante Privacy Presentare denuncia presso le forze dell’ordine Agire giudizialmente  

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail. azionesindacale.fvg@gmail.com