Garante per la protezione
    dei dati personali

Trattamento di dati sensibili da parte di un soggetto pubblico

PROVVEDIMENTO DEL 31 LUGLIO 2014

Registrodei provvedimenti
 n. 394 del 31 luglio 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ild.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTA larichiesta dell'Azienda Policlinico Umberto I (nota del 16 aprile 2014,in atti);

VISTOl'art. 17 del regolamento n. 1/2007 del 14 dicembre 2007, concernente leprocedure interne all'Autorità aventi rilevanza esterna, pubblicato in G.U. n.7 del 9 gennaio 2008;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1.1. Conla richiesta del 16 aprile u.s., effettuata anche ai sensi dell'art. 39 delCodice, l'Azienda Policlinico Umberto I ha formalizzato la richiesta, giàindirizzata all'Università "La Sapienza" di Roma (cfr. nota 10febbraio 2014) volta ad acquisire – nell'ambito delle operazioni diaccertamento e di quantificazione delle somme dovute al personale medico esanitario a titolo di indennità di "guardia notturna", conriferimento al periodo 2006-2008, in attuazione della delibera n. 654 del 16ottobre 2013 − "l'elenco degli iscritti alle [Š] OO.SS. alla datadell'invio dei rispettivi atti di diffida" interruttivi dellaprescrizione. La richiesta ha avuto origine, infatti, dalla necessità diprovvedere al tempestivo accertamento ed alla quantificazione dell'ammontaredell'indennità spettante a ciascun lavoratore rispetto al quale non fosse inogni caso intervenuta la prescrizione quinquennale (cfr, punto 2, delibera n.654/2013, cit.), per effetto di appositi atti interruttivi della stessa postiin essere da alcune organizzazioni sindacali nell'interesse dei propriiscritti, appartenenti alla dirigenza medica e sanitaria sia del Sistemasanitario nazionale sia dell'Università "La Sapienza".

Stando aquanto dichiarato, proprio al fine di verificare la correttezza degli atti didiffida, si rendeva necessario verificare la rappresentatività delle OO.SS.rispetto agli interessati e, dunque, accertare l'effettiva adesione alsindacato nel periodo di riferimento (la data dell'atto interruttivo dellaprescrizione) da parte del personale interessato al pagamento delle competenzeeconomiche.

1.2. Comemeglio precisato dall'azienda (nell'ambito di una successiva comunicazione inriscontro alla richiesta di chiarimenti formulata dall'Ufficio), la richiestaall'Università sarebbe stata giustificata in considerazione del fatto chepresso l'azienda "è funzionalmente assegnato personale, docente e nondocente, dell'Università "La Sapienza", come da Protocollo di intesatra la stessa Università e la Regione Lazio" e che, essendo le procedurestipendiali del personale universitario, in servizio anche presso l'azienda, inrealtà gestite dall'ateneo, datore di lavoro principale ("anche se inpresenza di doppio cedolino") solo nel "cedolino stipendiale dicompetenza dell'Università, non visualizzabile autonomamente dagli ufficiaziendali, [sarebbero] riportate le trattenute effettuate a favore dellediverse OO.SS." (cfr. nota del 2 luglio 2014, in atti) in caso di adesionesindacale del lavoratore.

1.3.L'ateneo a propria volta ha dichiarato di aver opposto il proprio rifiuto allarichiesta dell'azienda affermando di "non potersi sostituire alle siglesindacali interessate, che dispongono degli elenchi dei propri iscritti".

Aseguito di specifica richiesta  (e come anticipato anche all'azienda connota del 12 marzo 2014, in atti), l'università ha poi provveduto a fornire, invia collaborativa, a due sigle sindacali richiedenti "l'elenco dei propririspettivi iscritti"(nota del 25 giugno 2014, in atti).

Aconferma di ciò l'azienda ha, da ultimo, comunicato al Garante che"successivamente le OO.SS. [Š] hanno fornito esclusivamente i nominatividegli iscritti secondo le indicazioni dell'azienda stessa [Š]" previaacquisizione del consenso degli iscritti (cfr. nota 2 luglio 2014, cit.).

2. Presoatto che i dati personali rispetto ai quali è stata formulata la richiestahanno senza dubbio natura sensibile, essendo idonei a rivelare l'appartenenzasindacale dei lavoratori (art. 4, comma 1, lett. d), del Codice), sirappresenta che la disciplina di protezione dei dati personali prevede, in lineagenerale, che il trattamento (tra cui la "comunicazione", art. 4, comma1, lett. a) ed l) del Codice) dei dati sensibili – che deve comunqueavvenire "secondo modalità volte a prevenire violazioni dei diritti, dellelibertà fondamentali e della dignità dell'interessato" (art. 22, comma 1,del Codice) –, possa essere effettuato da parte dei soggetti pubblicisolo in presenza di espressa disposizione di legge nella quale sianospecificati, non solo i tipi di dati che possono essere trattati e la natura delleoperazioni eseguibili, ma anche le finalità di rilevante interesse pubblicoperseguite (art. 20, comma 1, del Codice).

Conparticolare riferimento al caso di specie, si rileva che per il trattamento deidati personali di cui al quesito, il legislatore ha direttamente individuato larichiesta finalità di rilevante interesse pubblico nelle esigenze connesse allagestione del rapporto di lavoro, in particolare in adempimento degli"obblighi retributivi" di cui all'art. 112, comma 2, lett. d), delCodice.

Quanto,poi, alla tipologia di dati e di operazioni eseguibili (fra le quali rientranola comunicazione e la diffusione del dato) esse, in base al richiamato quadronormativo, devono necessariamente essere specificate nei regolamenti per iltrattamento dei dati sensibili e giudiziari di cui all'art. 20, comma 2, delCodice.

Nel casospecifico sottoposto all'attenzione del Garante, i regolamenti dei due entiinteressati non prevedono, allo stato, tale particolare ipotesi dicomunicazione, salvo, in ogni caso, l'eventuale aggiornamento degli stessiprevio parere del Garante (art. 20 comma 2, del Codice).

Tantopremesso,

presoatto che con riguardo al caso di specie la comunicazione tra i due soggettipubblici non è, al momento, più necessaria − avendo l'azienda ospedalieraavuto la possibilità di acquisire i dati degli interessati per il tramite delleorganizzazioni sindacali le quali, in un caso con il consenso dei propriiscritti hanno provveduto a fornire i nominativi degli stessi al fine diottenere la liquidazione delle somme dovute−, si precisa che la procedura"semplificata" che il Codice prevede agli artt. 19, comma 2 e 39,commi 1, lett. a) e 2, non avrebbe potuto essere utilizzata per risolvere ilproblema contabile a suo tempo insorto, avendo ad oggetto dati sensibili.

IlCodice in materia di protezione dei dati personali detta, infatti, talespeciale disciplina per la comunicazione da parte dei soggetti pubblici deisoli dati personali diversi da quelli sensibili.

3.1. Inparticolare, l'attività di comunicazione di tali dati "da parte di unsoggetto pubblico ad altri soggetti pubblici" è ammessa solamente quandosia espressamente prevista da "una norma di legge o di regolamento"(art. 19, comma 2 del Codice); in mancanza di tale base giuridica la comunicazionepuò essere utilmente intrapresa, quando sia comunque necessaria per losvolgimento di funzioni istituzionali, decorsi 45 giorni dalla comunicazione alGarante − chiamato a verificare se tali funzioni siano effettivamenterealizzabili,  in base al quadro normativo vigente, unicamente attraversol'acquisizione dei dati richiesti − e in assenza di "diversadeterminazione" dello stesso (artt. 19, comma 2 e 39, comma 2, delCodice).

Taleprocedimento contemperando le esigenze di semplificazione e speditezzadell'azione amministrativa, quando sia volta a soddisfare necessità connesseall'esercizio di pubbliche funzioni, con il principio di legalità e tassativitàdei casi di comunicazione dei soli dati comuni (art. 19, comma 2, del Codice),subordina all'obbligo di comunicazione al Garante la possibilità, in assenza dieventuali e anche successive determinazioni dello stesso, di porre in essere lacomunicazione dei dati in favore di altro soggetto pubblico.

3.2. Piùin generale, resta comunque salva la possibilità, anche al di là del casoesaminato ovvero ove si preveda che simili esigenze, legate all'adempimento dispecifici obblighi in capo alle amministrazioni interessate, in qualità didatori di lavoro, possano in futuro riproporsi, di aggiornare i rispettiviregolamenti, previa acquisizione del parere del Garante, anche mediante ilcoinvolgimento della Regione, cui il presente provvedimento verrà notificatoper opportuna conoscenza.

Roma, 31 luglio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia