Garante per la protezione
    dei dati personali


Provvedimento del 30 ottobre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la segnalazione del Sindacato autonomo di polizia penitenziaria (S.A.P.Pe) concernente il trattamento di dati idonei a rivelare lo stato di salute del personale del Corpo di polizia penitenziaria, effettuato dal Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), con particolare riferimento agli artt. 20 e 22;

Viste le "Linee guida in materia di trattamento di dati personali di lavoratori per finalitł di gestione del rapporto di lavoro in ambito pubblico" adottate dal Garante con deliberazione del 14 giugno 2007 (G.U. 13 luglio 2007, n. 161;

Vista la documentazione fornita dal Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

E' pervenuta a questa Autoritł una segnalazione con la quale il Sindacato autonomo di polizia penitenziaria (S.A.P.Pe) lamenta che il Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria richiede che i certificati attestanti lo stato di malattia degli appartenenti al Corpo di polizia penitenziaria indichino, oltre alla prognosi, anche la diagnosi. Il sindacato ha trasmesso documentazione dalla quale risulta che il Dipartimento fonda la sua richiesta su alcune disposizioni (sull'art. 129 del d.lg. 30 ottobre 1992, n. 443 e sul d.m. del Ministero della giustizia 12 dicembre 2006, n. 306).

Avviata l'istruttoria preliminare, questa Autoritł, nel rappresentare al Ministero che la raccolta da parte del datore di lavoro di certificazioni mediche dei dipendenti comprensive di diagnosi Ć, di regola, consentita solo se Ć espressamente prevista da specifiche disposizioni normative, e che le disposizioni indicate nella documentazione trasmessa dal S.A.P.Pe non risultano costituire un fondamento idoneo per acquisire informazioni personali relative alla diagnosi, ha chiesto all'amministrazione di impartire al proprio interno le disposizioni ritenute opportune al fine di conformare il trattamento dei dati alle vigenti disposizioni in materia di protezione dei dati personali, dando comunicazione a questa Autoritł delle determinazioni adottate.

Nel fornire riscontro il Dipartimento dell'amministrazione penitenziaria ha comunicato di aver diramato specifiche direttive in materia con la circolare n. 0181442 del 7 giugno 2007, con la quale ha confermato l'attuale prassi volta a far sô che i certificati attestanti lo stato di malattia del personale del Corpo ai fini del riconoscimento del congedo rechino anche la diagnosi. Il Dipartimento ha, altresô, confermato di fondare la legittimitł di tale richiesta sulla base del "combinato disposto" dell'art. 129 del d. lg. n. 443/1992, degli artt. 20, 23 e 24 del Codice e del d.m. del Ministero della giustizia n. 306/2006.

Completata l'istruttoria preliminare, l'Autoritł ha comunicato al Ministero e al S.A.P.Pe (nota prot. n. 17642/53266 del 24 luglio 2008) l'avvio del procedimento amministrativo che trova conclusione con il presente provvedimento.

Il Dipartimento, cui Ć stata rinnovata la richiesta di comunicare eventuali altre determinazioni adottate, non ha fatto pervenire ulteriori osservazioni.

OSSERVA:

1. Il trattamento dei dati idonei a rivelare lo stato di salute da parte dei soggetti pubblici
Il Codice impone il rispetto di particolari condizioni per il trattamento da parte di soggetti pubblici di dati sensibili, tra i quali rientrano i dati idonei a rivelare lo stato di salute (art. 4, comma 1, lett. d) del Codice). In particolare, Ć necessario che un'espressa disposizione di legge specifichi le finalitł di rilevante interesse pubblico perseguite con il trattamento e che la legge stessa, oppure un atto di natura regolamentare adottato dal soggetto interessato, identifichi i tipi di dati che possono essere trattati e di operazioni eseguibili (art. 20). Al riguardo, il Ministero della giustizia ha identificato i tipi di dati e di operazioni con il regolamento adottato, in conformitł al parere espresso dal Garante, con d.m. 12 dicembre 2006, n. 306, recante "Disciplina del trattamento dei dati sensibili e giudiziari da parte del Ministero della giustizia, adottato ai sensi degli articoli 20 e 21 del d.lg. 30 giugno 2003, n. 196 ("Codice in materia di protezione dei dati personali")".

Inoltre, Ć vietato ai soggetti pubblici trattare informazioni di natura sensibile che non siano realmente indispensabili per raggiungere determinate finalitł specificamente previste (art. 22).

In applicazione di tali princôpi, e con specifico riferimento al trattamento dei dati idonei a rivelare lo stato di salute contenuti nelle certificazioni attestanti lo stato di malattia prodotte da un dipendente di una pubblica amministrazione, l'Autoritł ha gił rilevato, anzitutto, che il vigente quadro normativo non prevede l'obbligo dell'invio al datore di lavoro di certificazione medica contenente anche l'indicazione della diagnosi. In difetto di una disposizione speciale che disponga diversamente, "il lavoratore assente per malattia Ć tenuto a presentare al datore di lavoro esclusivamente l'attestazione della prognosi" (Provv. 15 aprile 2004, confermato dall'autoritł giudiziaria -Tribunale di Genova, sent. n. 4982 del 27 dicembre 2005-).

Tale principio Ć stato ribadito nelle "Linee guida in materia di trattamento di dati personali di lavoratori per finalitł di gestione del rapporto di lavoro in ambito pubblico" adottate dal Garante con deliberazione del 14 giugno 2007 (G.U. 13 luglio 2007, n. 161). Per quanto concerne le assenze per ragioni di salute (par. 8.2), premesso che la normativa sul rapporto di lavoro prevede specifici obblighi nei riguardi del lavoratore al fine di consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge "anche al fine di accertare l'idoneitł al servizio, alle mansioni o allo svolgimento di un proficuo lavoro", il Garante ha poi nuovamente chiarito che "Ć previsto che venga fornita all'amministrazione di appartenenza un'apposita documentazione a giustificazione dell'assenza, consistente in un certificato medico contenente la sola indicazione dell'inizio e della durata della presunta infermitł: c.d. "prognosi". In assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali , il datore di lavoro pubblico non Ć legittimato a raccogliere certificazioni mediche contenenti anche l'indicazione della diagnosi".

Ove non si verta in uno di tali casi speciali, "qualora il lavoratore produca documentazione medica recante anche l'indicazione della diagnosi insieme a quella della prognosi, l'amministrazione ( ╔ ) deve astenersi dall'utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice)". Anche "all'esito delle visite di controllo sullo stato dell'infermitł ( ╔ ) il datore di lavoro pubblico Ć legittimato a conoscere i dati personali dei lavoratori riguardanti la capacitł o l'incapacitł al lavoro e la prognosi riscontrata, con esclusione di qualsiasi informazione attinente alla diagnosi".

2. Le certificazioni di malattia del personale del Corpo di Polizia penitenziaria
Come sopra accennato, il Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria ha indicato, quale base normativa idonea a fondare la richiesta di certificati medici comprensivi della diagnosi al personale del Corpo di Polizia penitenziaria che si assenti per malattia, il combinato disposto dei citati artt. 23 e 24 del Codice e 129 del d.lg. n. 443/1992, nonchÄ del menzionato regolamento adottato dal Ministero della giustizia con d.m. n. 306/2006.

In realtł, tali disposizioni non possono essere ritenute idonee a legittimare il trattamento di dati effettuato presso il Dipartimento relativo ai congedi per malattia.

In particolare:

      gli artt. 23 e 24 del Codice non sono applicabili al trattamento in esame, trattandosi di disposizioni che si riferiscono all'acquisizione del consenso dell'interessato al trattamento dei dati personali effettuato da soggetti privati ed enti pubblici economici;

      l'art. 129 del d.lg. n. 443/1992 si limita a prevedere la facoltł dell'amministrazione di disporre accertamenti sull'idoneitł psico-fisica dei dipendenti, ma nulla prevede in ordine all'acquisizione, a questo fine, di certificazione medica comprendente anche la diagnosi dell'infermitł;

      il d.m. n. 306/2006 consente in termini generali il trattamento dei dati sensibili e giudiziari da parte del Ministero, anche con riferimento alle assenze del dipendente, ma "nel rispetto delle norme vigenti in materia" (cfr. scheda all. 7 al decreto) tra le quali, come detto, non si rinvengono disposizioni che consentano l'acquisizione della diagnosi sulle certificazioni mediche.

Allo stato, alla luce di quanto ritenuto in linea generale dal Garante nelle menzionate "Linee guida", e tenuto conto di quanto specificamente rappresentato dal Dipartimento, non risultano quindi disposizioni che obblighino l'amministrazione ad acquisire certificati medici relativi ai congedi per malattia del personale del Corpo di polizia penitenziaria comprensivi anche della diagnosi.

Inoltre, in aggiunta alla contestata assenza di tali disposizioni, va rilevato che dalla documentazione allo stato prodotta non consta che ai fini del riconoscimento dei congedi di malattia sia indispensabile trattare il dato personale relativo alla diagnosi.

Deve conseguentemente essere vietato al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, di trattare i dati personali idonei a rivelare lo stato di salute del personale del Corpo di polizia penitenziaria relativi all'indicazione della diagnosi nei certificati di malattia.

Va, altresô, prescritto al medesimo Ministero, ai sensi dell'art. 154, comma 1, lett. c) del Codice, di impartire le disposizioni occorrenti al fine di conformare il trattamento dei dati alle vigenti disposizioni in materia di protezione dei dati personali, comunicando all'Autoritł le determinazioni adottate entro il termine che risulta congruo fissare in tre mesi dalla comunicazione del presente provvedimento.

TUTTO CI˝ PREMESSO, IL GARANTE:

a) vieta al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, di trattare i dati personali idonei a rivelare lo stato di salute concernenti l'indicazione della diagnosi nei certificati di malattia del personale del Corpo di polizia penitenziaria;

b) ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria di impartire le disposizioni occorrenti al fine di conformare il trattamento dei dati di cui alla lettera a) alle vigenti disposizioni in materia di protezione dei dati personali, comunicando all'Autoritł le determinazioni adottate entro il termine di tre mesi dalla comunicazione del presente provvedimento.

Roma, 30 ottobre 2008

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
Buttarelli