CORTE DI CASSAZIONE, SEZ.CIV. II, 4 APRILE 2019, N. 9382 Pres. PETITTI – Rel. CORRENTI Privacy – Riservatezza dei dipendenti – Dato personale – Protezione dei dati personali – Particolare categoria di dati – Dati sanitari – Principio di trasparenza Privacy – Employees’right to privacy – Personal data – Personal data protection – Special categories of personal data – Personal data concerning health – Principle of transparency.   La protezione di particolari categorie di dati personali, quali i dati sanitari del pubblico dipendente, prevale – nel bilanciamento degli interessi in discussione – sull’esigenza di trasparenza amministrativa genericamente dedotta. Diversamente, si autorizzerebbe una sostanziale elusione della normativa sulla protezione di dati personali. Conseguentemente, è legittima la sanzione irrogata dal Garante all’ente pubblico che diffonde notizie sullo stato di salute di un suo dipendente inserendole in una determina amministrativa. (omissis) FATTO E DIRITTO Il Garante per la protezione dei dati personali propone ricorso per cassazione avverso la sentenza del Tribunale di Foggia 19.11.2013, che ha accolto l’opposi­zione della provincia di Foggia all’ordinanza n. 44 del Garante, che aveva ingiunto la sanzione di euro 20.000 per la violazione dell’art. 162, II bis del codice di protezione dei dati personali, per la diffusione dello stato di salute di una dipendente in difformità da quanto previsto dall’art. 22 VIII. La Provincia aveva dedotto che dell’illecito, ove esistente, rispondeva il dirigente del servizio e che non vi era alcuna violazione stante l’esigenza della trasparenza amministrativa mentre il Garante aveva eccepito la mancata impugnazione del provvedimento presupposto e l’infondatezza della opposizione. La sentenza ha escluso la definitività del provvedimento presupposto, che consentiva di produrre scritti difensivi, e sancito la fondatezza dell’opposizione ritenendo che la sola diffusione della determina non fosse lesiva della c.d. privacy. Il Garante denunzia 1) violazione del D.Lgs. n. 196 del 2003, art. 152, e del D.Lgs. n. 150 del 2011, art. 10 III, perché i ricorsi avverso i provvedimenti del Garante vanno proposti entro 30 giorni dalla loro comunicazione ed il Tribunale ha errato nel sostenere che non osta all’esame del merito l’omessa impugnazione del provvedimento del luglio 2009 che ha seguito quello del giugno precedente di inibitoria alla pubblicazione dei dati; 2) violazione del D.Lgs. n. 196 del 2003, art. 22 VIII, nonché dell’art. 20, I e II, art. 65, V, art. 68, III, per essere stata ritenuta illegittima la sanzione in ordine alla diffusione di un dato sensibile. Resiste la provincia con controricorso. Il primo motivo di ricorso è infondato. La mancata [continua..]

SOMMARIO:

1. Il caso - 2. I dati personali del dipendente pubblico: il difficile bilanciamento fra trasparenza (dell’Amministrazione) e riservatezza (del dipendente) - 3. Il trattamento dei dati del dipendente pubblico alla luce del GDPR e del (novellato) D.Lgs. 196/2003 - 4. Limitazioni all’accesso e diffusione di particolari categorie e di dati relativi alla salute - 5. Conclusioni - NOTE

1. Il caso

La pronuncia in commento interviene a definizione di una controversia insorta tra una pubblica Amministrazione – segnatamente la Provincia di Foggia – e l’Au­torità Garante per la Protezione dei Dati Personali. Oggetto del contendere è il provvedimento con cui il Garante ingiungeva alla Provincia di pagare una sanzione di ventimila euro per aver violato l’art. 162, comma 2 bis del D.Lgs. 196/2003 (di seguito anche solo «Codice Privacy»). Questa disposizione – applicabile ratione temporis al caso sub iudice, ma oggi abrogata dal D.Lgs. 101/2018 [1] – sanzionava chi, nel trattare dati personali, violava le prescrizioni di cui agli artt. 33 e/o 167 del medesimo Codice. Nel caso di specie si contestava la violazione dell’art. 33, il quale prescriveva ai titolari del trattamento di adottare una serie di «misure minime di sicurezza» volte ad evitare la distruzione o perdita di dati personali, l’accesso non autorizzato o il trattamento non consentito o conforme alle finalità di raccolta [2]. Nello specifico, il Garante rilevava che la Provincia aveva permesso «la diffusione di dati sensibili di una dipendente» (nel dettaglio attinenti allo stato di salute) attraverso la loro trascrizione in una determina, che come tale è accessibile ad una quantità non predeterminabile di soggetti. Secondo il Garante tale condotta integrava un trattamento illecito perché in violazione del divieto di cui all’art. 22, comma 8 del Codice Privacy, secondo il quale «i dati idonei a rivelare lo stato di salute non possono essere diffusi» [3]. Accogliendo il ricorso della Provincia, il Tribunale di Foggia concludeva per la liceità del trattamento, e per la conseguente illegittimità della sanzione, sul presupposto che «la sola diffusione della determina non era lesiva della c.d. privacy». Ricorreva per cassazione il Garante [4], denunciando la violazione e falsa applicazione dell’art. 22, comma 8, dell’art. 20, commi 1 e 2 [5], e degli art. 65, comma 5 e 68, com­ma 3 [6]. Lamentava in sintesi che il Giudice di prime cure aveva ritenuto legittima la diffusione di dati «sensibili» in spregio al relativo divieto sancito nel Codice Privacy. La Suprema Corte accoglieva il ricorso, preliminarmente [continua ..]

2. I dati personali del dipendente pubblico: il difficile bilanciamento fra trasparenza (dell’Amministrazione) e riservatezza (del dipendente)

Le succinte argomentazioni svolte dalla Suprema Corte offrono l’occasione di scrutinare un tema che nelle ultime tre decadi ha rappresentato un terreno di crescente confronto tra due diritti di primario rilievo negli ordinamenti democratici. Da un lato, il diritto di accesso alle notizie e ai documenti della Pubblica Amministrazione, da intendersi quale corollario dello stesso principio democratico ex art. 1 Cost. [9] e declinazione soggettiva dei principi di pubblicità e trasparenza che devono scandire l’agere publicum e che si estendono anche ai dati personali trattati dalla P.A. per il conseguimento dei suoi fini istituzionali [10]. Ad esso si antepone il diritto alla riservatezza e alla protezione dei dati personali, ormai saldamente radicato in fonti di rango sovranazionale [11], costituzionale [12] ed ordinario [13], ed il cui perimetro protettivo include anche i dati trattati dalla P.A [14]. Considerato come questi ultimi attengano ad una variegata platea di soggetti operanti negli ambiti più disparati (istruzione, salute, sicurezza, giurisdizione, fiscalità, ecc.), vale premettere che il presente contributo considererà esclusivamente la disciplina di quei dati che vengono trattati dalla P.A. perché necessari all’esecuzione di un contratto di lavoro [15]. Tema, questo, tutt’altro che sconosciuto agli interpreti, che ne hanno descritto la complessità evocando l’immagine di un «nodo gordiano» [16], scaturente dal contrasto tra la crescente esigenza delle società democratiche di rendere l’Amministra­zione più trasparente e l’aspirazione dei pubblici dipendenti a veder salvaguardata la loro vita privata e relazionale. Cionondimeno, un nuovo approfondimento sull’attuale stato del rapporto tra questi due diritti si giustifica quantomeno per due ragioni. La prima è legata alla recente riforma del quadro normativo in materia di protezione dei dati personali, introdotta con Regolamento EU 679/2016, e divenuta pienamente applicabile solo a partire dal 25 maggio del 2018 [17]. Al Regolamento ha fatto seguito nell’ordinamento interno il D.Lgs. 101/2018, che ha novellato il D.Lgs. 196/2003, adeguandolo ai nuovi dettami del GDPR. Ai fini che qui interessano, questa riforma rileva perché parzialmente innova i principi, le procedure e le [continua ..]

3. Il trattamento dei dati del dipendente pubblico alla luce del GDPR e del (novellato) D.Lgs. 196/2003

Il Regolamento UE 679/2016 ha riformato la previgente disciplina comunitaria [26] perseguendo un duplice obiettivo: garantire una maggiore tutela dei dati personali ed assicurare la loro libera circolazione all’interno dell’Unione. Nell’ottica di perseguire il primo di tali obiettivi, la nuova disciplina si concentra specialmente nel definire i principi generali che presiedono il trattamento (art. 5 GDPR), nell’individuare le finalità che lo legittimano (art. 6 GDPR) e nell’inasprire le sanzioni per eventuali violazioni (art. 83 GDPR). Minore attenzione viene dedicata, invece, alla natura dei soggetti che attuano il trattamento, rispetto ai quali – a differenza di quanto avveniva in precedenza [27] – non si operano sostanziali distinzioni tra soggetti pubblici e privati. Un simile approccio trova applicazione anche nell’ambito dei rapporti di lavoro, ove il Regolamento non opera alcuna distinzione tra i datori di lavoro pubblici e privati, che sono, quindi, destinatari dei medesimi obblighi [28]. In linea generale il datore di lavoro pubblico – al pari di quello privato – può trattare i dati dei propri dipendenti anche in assenza del loro consenso, perché il trattamento per fini lavorativi ha come propria base giuridica quella prevista dall’art. 6, par. 1, lett. b (esecuzione di un contratto) e/o lett. c (adempimento di un obbligo legale del datore-titolare del trattamento) del GDPR. Occorre poi che la P.A. assolva una serie di adempimenti prodromici al trattamento: l’individuazione del titolare [29] e del responsabile [30] e la valutazione tecnica dei potenziali rischi connessi al proprio modello organizzativo, cui consegue l’adozione degli opportuni correttivi, che non possono essere introdotti una tantum, ma esigono un continuo aggiornamento in ragione delle modalità del trattamento di volta in volta adottate dalla P.A. [31]. L’Amministrazione deve anche fornire al lavoratore tutte le informazioni di cui agli artt. 13 e 14 GDPR, necessarie per il consapevole esercizio dei diritti connessi alla sua posizione di interessato [32]. L’attività di vero e proprio trattamento dei dati è, invece, regolata dai principi di cui all’art. 5, par. 1, GDPR: (lett. a) liceità, correttezza e trasparenza [33]; (lett. b) limitazione delle [continua ..]

4. Limitazioni all’accesso e diffusione di particolari categorie e di dati relativi alla salute

Chiariti i principi che regolano il trattamento dei dati personali ‘comuni’ e dei dati ex art. 9, par. 1 GDPR, occorre definire come essi interagiscano con gli istituti dell’accesso agli atti e dell’accesso civico. Il quadro normativo da considerare è composito. L’art. 86 GDPR dispone che «i dati personali contenuti in documenti ufficiali (…) possono essere comunicati conformemente al diritto dell’Unione o degli Stati membri, al fine di conciliare l’ac­ces­so del pubblico ai documenti ufficiali e il diritto alla protezione dei dati ai sensi del presente regolamento» [49].In sostanza, il Regolamento si limita a postulare la necessità di un bilanciamento, ma rinvia agli ordinamenti interni per la disciplina di dettaglio. In attuazione di tale rinvio il legislatore italiano ha innanzitutto qualificato l’ac­cesso agli atti di cui alla L. 241/1990 e l’accesso civico di cui al D.Lgs. 33/2013 come ipotesi di trattamento rispondenti ad un «interesse pubblico rilevante» [50], con ciò facendoli rientrare tra le ipotesi tassative di trattamenti autorizzati ex art. 6, par. 1, lett. e) GDPR. In aggiunta, il D.Lgs. 196/2003 dedica ai due istituti di accesso gli artt. 59 e 60 [51]. Il primo si risolve in un rinvio alla normativa amministrativa, alla quale rimane il compito di individuare i presupposti, le modalità ed i limiti al diritto di accesso ai dati personali. L’art. 60, invece, si rivolge alle Amministrazioni, disponendo che se l’accesso interessa documenti contenenti «dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale», esse potranno concedere l’accesso solo se il diritto che si intende tutelare con l’accesso «è di rango almeno pari ai diritti dell’interes­sa­to, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale». Dalla lettura delle due disposizioni emerge, dunque, che il rapporto tra diritto di accesso e diritto alla riservatezza varia a seconda della tipologia di dato interessato, ripercuotendosi anche sul tipo di istituto che di volta in volta occorre utilizzare per ottenere l’accesso. Se si tratta di dato genetico o relativo a salute e vita sessuale ex art. 60, D.Lgs. 196/2003, la P.A. subordina l’accesso [continua ..]

5. Conclusioni

L’introduzione di meccanismi di controllo diffuso sull’azione amministrativa, ormai fruibili on demand attraverso gli appositi siti istituzionali, rappresenta certamente un indice di maturità dei principi di trasparenza e pubblicità, che in tal modo si allineano al mutato contesto sociale e tecnologico. Non si può ignorare, però, che le forme particolarmente radicali di accesso ai dati della P.A., nella misura in cui non richiedono né interesse, né motivazione da parte dell’istante, prestano il fianco anche a gravi distorsioni e/o ad un uso strumentale in danno anche ai pubblici dipendenti, che più di altre categorie suscitano il periodico ‘interesse’ di campagne politiche e di stampa. L’attualità di un simile rischio è già stata rilevata dalla Corte EDU, la quale ha sottolineato come sia necessario impedire che «l’interesse sotteso all’accesso ai dati personali per fini di interesse pubblico sfoci nella “sete di informazioni” sulla vita privata degli altri» [56]. Una «sete di informazioni» che sembrerebbe già aver preso piede in Italia, posto che l’Autorità Garante ha riportato come nel 2018 tra le istanze di accesso civico ex D.Lgs. 33/2013 «un picco di richieste è stato registrato con riguardo a dati personali riferiti a lavoratori e dipendenti della P.A.» [57]. In questo contesto, l’adozione del GDPR deve senza dubbio salutarsi con favore, poiché conferma – rafforzandoli (anche in termini sanzionatori) – i principi generali che la P.A. deve osservare sia quando tratta i dati dei propri dipendenti, sia quando valuta l’accoglimento delle istanze di accesso. Particolarmente utile ai fini della tutela della riservatezza appare anche l’intro­du­zione ad opera dell’art. 2 septies, D.Lgs. 196/2003 dell’ulteriore criterio di legittimità del trattamento dei dati sensibili, ossia l’osservanza delle misure di garanzia individuate dal Garante. Attraverso questa previsione, infatti, si pone, in capo alla P.A. datrice di lavoro, un obbligo di costante adeguamento del proprio modello organizzativo alle prescrizioni fornite dal Garante, a sua volta chiamato ad assolvere il cruciale compito di aggiornare al contesto tecnologico le modalità di concreta [continua ..]

NOTE