CORTE DI CASSAZIONE – Sentenza 08 agosto 2013, n. 18980
Privacy – Dati personali sensibili e giudiziari – Illecito trattamento da parte dell’ente datore
Ritenuto in fatto e in diritto
(…) ha proposto ricorso per Cassazione – affidato a un solo motivo – contro la sentenza depositata il 23.6.2009 con la quale il Tribunale di Bologna ha rigettato la sua domanda di cancellazione di dati personali sensibili e giudiziari nonché di risarcimento dei danni proposta ai sensi dell’art. 152 d.lgs. n. 196/2003 nei confronti del Comune di Budrio.
Il Tribunale ha ritenuto che fossero stati rispettati i principi di pertinenza e necessità e che non fossero stati diffusi dati riguardanti lo stato di salute della ricorrente (essendo generica la dizione “assenza per malattia” così come il termine “mobbing”) ovvero dati giudiziari.
Resiste con controricorso l’amministrazione comunale intimata.
Nel termine di cui all’art. 378 c.p.c. le parti hanno depositato memoria.
Con l’unico motivo di ricorso la ricorrente denuncia violazione di norme di diritto e formula, ai sensi dell’art. 366-bis c.p.c., applicabile ratione temporis, il seguente quesito di diritto: “se la pubblicazione, da parte di un’amministrazione comunale, all’Albo Pretorio nonché sul sito internet ufficiale, dei dati personali di un proprio dipendente relativi allo “stato di malattia” dello stesso nonché alla pendenza tra le parti di procedure giudiziarie aventi per oggetto il “mobbing” e, ancora, l’omessa pubblicazione dei dati personali dello stesso all’interno dell’organigramma comunale siano comportamenti posti in violazione delle norme in materia di protezione dei dati personali, d.lgs. n. 196/2003, ed in particolare degli articoli 3, 4, 11, 15, 22″.
Il ricorso è fondato.
L’art. 22 d.lgs. n. 196/2003, invero, dispone che «i soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato» (comma 1). Inoltre, <<i soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa» (comma 3) e <<i dati idonei a rivelare lo stato di salute non possono essere diffusi» (comma 8), mentre rispetto ai dati sensibili e giudiziari <<i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi>>.
Questa Corte, in fattispecie analoga (cfr. Sez. 1, Sentenza n. 12726 del 2012), ha affermato:
Gli enti locali, in quanto soggetti pubblici, possono trattare dati di carattere personale anche sensibile e giudiziario solo per svolgere le rispettive funzioni istituzionali (L. n. 675 del 1996, art. 27).
La pubblicazione e la divulgazione di atti e documenti determinano una “diffusione” di dati personali, comportando la conoscenza di dati da parte di un numero indeterminato di cittadini e l’interferenza nella sfera personale degli interessati che ne consegue è legittima, solo se la diffusione è prevista da una norma di legge o di regolamento (L. n. 675 del 1996, art. 1, comma 2, lett. h), e art. 27, comma 1).
In ogni caso la diffusione deve essere rispettosa dei criteri dettati dalla L. n. 675 del 1996, art. 9, in forza del quale i dati personali devono essere “a) trattati in modo lecito e secondo correttezza” e, in ogni caso, “d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati”.
… se la menzione di dati personali relativi alla ricorrente nelle deliberazioni adottate risultava lecita, anche alla luce del D.Lgs. n. 267 del 2000, art. 183, il quale prevede, per l’adozione degli impegni di spesa, che debba essere indicata oltre alla somma da pagare ed al soggetto creditore anche la ragione di tale impegno, per converso, non rispettosa, dei criteri di pertinenza e proporzionalità di cui alla L. n. 675 del 1996, art. 9, sono state le modalità di diffusione dei dati della ricorrente nella versione dell’ordine del giorno della seduta del Consiglio comunale riportato nell’avviso pubblico di convocazione dello stesso.
È stato, altresì, affermato che “la pubblica amministrazione commette illecito se effettua il trattamento di un dato che risulti eccedente le finalità pubbliche da soddisfare” (Sez. 1°, n. 2034/2012).
I medesimi principi – benché enunciati alla luce della l. n. 675 del 1996, sul punto non difforme dal d.lgs. n. 196/2003 risultano applicabili nella concreta fattispecie, tenuto conto che la “salute” è definibile come stato di benessere fisico e di armonico equilibrio psichico dell’organismo umano, in quanto “esente da malattie”, da imperfezioni e disturbi organici o funzionali. Talché costituisce diffusione di un dato sensibile quello relativo all’assenza dal lavoro di un dipendente per malattia.
Inoltre, va tenuto conto della circostanza che «per “mobbing” si intende comunemente una condotta del datore di lavoro o del superiore gerarchico, sistematica e protratta nel tempo, tenuta nei confronti del lavoratore nell’ambiente di lavoro, che si risolve in sistematici e reiterati comportamenti ostili che finiscono per assumere forme di prevaricazione o di persecuzione psicologica, da cui può conseguire la mortificazione morale e l’emarginazione del dipendente, con effetto lesivo del suo equilibrio fisico-psichico e del complesso della sua personalità». In particolare, ai fini della configurabilità della condotta lesiva del datore di lavoro sono, tra l’altro, rilevanti l’evento lesivo della salute o della personalità del dipendente e il nesso eziologico tra la condotta del datore o del superiore gerarchico e il pregiudizio all’integrità psico-fisica del lavoratore (Sez. L, Sentenza n. 3785 del 17/02/2009).
Il Garante della protezione dei dati personali, peraltro, sin dal 2004 (e in relazione alla Guardia di Finanza) ha ritenuto che l’indicazione del dato relativo all’assenza per “convalescenza” dà luogo ad un trattamento di dati sensibili dal momento che tale informazione, pur non facendo riferimento a specifiche patologie, è comunque suscettibile di “rivelare lo stato di salute” dell’interessato (art. 4, comma 1, lett. d) del Codice (V., ora, le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” – 14 giugno 2007 in G.U. 13 luglio 2007, n. 161 Parag. 8.2: « Riguardo al trattamento di dati idonei a rivelare lo stato di salute, la normativa sul rapporto di lavoro e le disposizioni contenute in contratti collettivi possono giustificare il trattamento dei dati relativi a casi di infermità che determinano un’incapacità lavorativa (temporanea o definitiva), con conseguente accertamento di condizioni di salute del lavoratore da parte dell’amministrazione di appartenenza, anche al fine di accertare l’idoneità al servizio, alle mansioni o allo svolgimento di un proficuo lavoro. Tra questi ultimi può rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi>>).
L’art. 8 della direttiva 95/46/CE, peraltro, fa riferimento semplicemente ai “dati relativi alla salute” e non può essere messo in dubbio che un’assenza dal lavoro “per malattia” costituisca un dato personale “relativo alla salute” del soggetto cui l’informazione si riferisce.
Trova quindi applicazione, nel caso di specie, la disciplina sul trattamento dei dati sensibili da parte dei soggetti pubblici. L’art. 22, comma 3, del Codice prevede che tali soggetti possono trattare solo i dati sensibili indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
Da ultimo va chiarito che l’omessa pubblicazione dei dati personali della ricorrente all’interno dell’organigramma comunale va apprezzata quale violazione del principio di completezza dei dati personali trattati dall’amministrazione.
Il ricorso, dunque, deve essere accolto. La sentenza impugnata deve essere cassata con rinvio per nuovo esame e per il regolamento delle spese al Tribunale di Bologna, in persona di diverso magistrato.
Non rileva, infine, nel presente procedimento (ratione temporis) la norma di cui all’art. 4, comma 5, D.Lgs. 14/03/2013, n. 33 (Limiti alla trasparenza), secondo la quale “Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l’amministrazione, idonee a rivelare taluna delle informazioni di cui all’articolo 4, comma 1, lettera d) del decreto legislativo n. 196 del 2003”.
Il detto provvedimento legislativo, infatti, è in vigore soltanto dal 20 aprile 2013.
Ai sensi dell’art. 154, comma 6, d.lgs. n. 196/2003 copia del presente provvedimento sarà trasmessa, a cura della cancelleria, al Garante.
P.Q.M.
Accoglie il ricorso nei sensi di cui in motivazione, cassa la sentenza impugnata e rinvia per nuovo esame e per il regolamento delle spese al Tribunale di Bologna in persona di diverso magistrato.
In caso di diffusione del presente provvedimento omettere le generalità e gli altri dati identificativi delle parti a norma dell’art. 52 d.lgs. 196/03 in quanto imposto dalla legge.
