Sanzione di 10.000 euro per comunicazione illecita di dati personali, in violazione della disciplina in materia di protezione dei dati personali (art. 2, comma 4, del Codice) consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.
In particolare, venivano rese disponibili, tramite l’invio di una e-mail ai dipendenti dell’azienda nonché mediante affissione nelle bacheche aziendali dello schema dei turni, informazioni relative ai motivi dell’assenza dal servizio.
I motivi dell’assenza erano indicati mediante sigle sintetiche
- “MAL” in luogo di malattia,
- “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”,
- “INF” in luogo di infortunio,
- “SOSP” in luogo di sospensione/sanzione disciplinare,
- “PS” in luogo di permesso sindacale,
- “ric.osp.” in luogo di ricovero ospedaliero,
- “AVIS” in luogo di donazione sangue
Diversamente da quanto ritenuto dalla Società, il garante ha chiarito che i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto contrattuale e non possono essere trattati da coloro che, ancorché operino presso l’impresa, non siano autorizzati ad accedere a tali dati, in ragione delle mansioni svolte.
In ogni caso, il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza trasparenza minimizzazione”, e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” ai sensi dell’art. 5, par. 1, lett. a) e c), del Regolamento.
Dott.ssa Mag. Donadio Eleonora M., Legal Consultant APSILEF, Resp. APSILEF Emilia-Romagna