Garante Privacy: Ordinanza di ingiunzione ad un ordine professionale per negligente comunicazione di dati personali afferenti ad un provvedimento di sospensione
Il Garante Privacy -in esito ad un procedimento avviato da un iscritto all’albo di un Ordine di professioni sanitarie- ha sanzionato l’Ordine professionale per trattamento illecito dei dati personali del professionista; in particolare ha rilevato che la comunicazione del provvedimento di sospensione del professionista da parte dell’Ordine agli Enti terzi e agli altri Ordini professionali, è avvenuta in maniera non conforme al principio di liceità, correttezza, trasparenza e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.
Secondo l’Autorità la violazione deriva dalla condotta negligente dell’Ordine che, nell’effettuare le comunicazioni agli Enti ai sensi del D.p.r. 221/1950 a seguito dell’accertamento dell’inosservanza dell’obbligo vaccinale del professionista iscritto all’albo, allegava copia integrale della documentazione inviata dall’ATS locale, datrice di lavoro del reclamante, senza effettuare alcuna valutazione in merito alla pertinenza dei dati personali in essa contenuti, nonché alla base giuridica del trattamento.
Il Garante ha individuato diversi profili di irregolarità della comunicazione così sintetizzabili:
- Preliminarmente il Garante rileva che l’ ATS, in qualità di ente che ha proceduto all’accertamento della mancata vaccinazione, avrebbe dovuto comunicare all’Ordine professionale esclusivamente l’esito dell’accertamento, ai sensi dell’art. 4, comma 6, D.l. 44/202; al contrario l’ATS ha comunicato anche i provvedimenti adottati nell’ambito del rapporto di lavoro in seguito all’accertamento nonché altre informazioni relative al rapporto di lavoro di cui l’Ordine non era legittimato a venire a conoscenza, tra cui l’impossibilità di adibire il reclamante a diverse mansioni, le mansioni svolte e la comminazione della sospensione dal servizio fino ad assolvimento dell’obbligo vaccinale. Tale preliminare rilievo dell’Autorità è servito ad evidenziare l’infondatezza delle affermazioni dell’Ordine, secondo cui i dati personali del reclamante contenuti nella comunicazione inviata agli Enti fossero pertinenti e limitati a quanto necessario alle finalità del trattamento;
- Nel merito il Garante sottolinea la non pertinenza del richiamo, da parte dell’Ordine, a quanto disposto dall’art. 17-bis del d.l. n. 18/2020 che consente, ai soggetti individuati dalla norma, il trattamento dei dati personali qualora risultino necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza sanitaria da Covid-19, a condizione che siano effettuati adottando misure appropriate a tutela dei diritti e delle libertà degli interessati e nel rispetto dei princìpi di cui all’art. 5 del Regolamento;
- Sempre nel merito, il Garante segnala l’infondatezza della tesi difensiva dell’Ordine secondo cui alcuni dei dati personali oggetto di comunicazione erano stati resi pubblici dallo stesso iscritto o erano stati oggetto di pubblicazione obbligatoria nella sezione “Amministrazione Trasparente” dell’Azienda, posto che i soggetti pubblici possono comunicare a terzi dati personali solo al ricorrere dei presupposti di liceità previsti dalla normativa in materia di protezione dei dati, a nulla rilevando che i medesimi dati siano già stati diffusi dallo stesso interessato o da terzi per altre finalità e in diversi contesti.
Con riguardo, infine, alla comunicazione dell’intervenuta sospensione del professionista agli Enti, ai sensi dell’art. 49 D.p.r. 221/1950, il Garante osserva che la mera comunicazione della sospensione non configura una violazione della normativa in materia di protezione dei dati, difettando l’elemento soggettivo della colpa poiché la nota dell’Ordine è stata inviata anteriormente ai chiarimenti del Ministero della Salute che ha stabilito che le comunicazioni degli atti di accertamento dell’inadempimento dell’obbligo vaccinale non devono essere inviate agli Enti, stante la natura non disciplinare dell’accertamento.
Alla luce delle considerazioni svolte, il Garante ha comminato la sanzione pecuniaria nella misura di € 3.000,00 ai sensi dell’art. 83, par. 1, del Regolamento, avuto riguardo al contesto emergenziale della pandemia in cui ha operato l’Ordine e ha ritenuto necessaria l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto che la comunicazione ha avuto ad oggetto dati personali relativi alla sfera lavorativa dell’interessato.