Se un lavoratore in divisa richiede chiarimenti tecnici su un servizio che gli è stato affidato meglio usare riservatezza nelle risposte. Il trattamento dei dati personali nell’ambito delle relazioni interne della pubblica amministrazione deve infatti sempre rispettare i principi del regolamento europeo anche quando le segnalazioni riguardano tematiche come la sicurezza nei luoghi di lavoro.
Lo ha stabilito il Garante per la protezione dei dati personali con il provvedimento n. 101 del 27 febbraio 2025, intervenendo su un caso di indebita diffusione di dati relativi ad un agente di polizia locale. Il procedimento trae origine da una segnalazione presentata da un operatore di polizia municipale al proprio comando con la quale lo stesso «segnalava delle criticità inerenti la personale incolumità, ai sensi dell'articolo 20 comma 2 lettera e) del d.lgs. n. 81/2008», richiedendo contestualmente chiarimenti sulle misure adottate dal datore di lavoro, ai sensi dell'articolo 18 del medesimo decreto, per la protezione dei lavoratori impegnati in servizio appiedato in solitaria senza apparati di comunicazione. La conseguente nota interna, che riportava anche il riferimento a un infortunio subito dal reclamante, non è stata gestita con la necessaria riservatezza. Al contrario, il responsabile del competente settore di polizia municipale ha provveduto a dare riscontro includendo tra i destinatari non solo l'interessato, ma anche il sindaco, il segretario generale, l'assessore alla polizia municipale, e ha disposto la comunicazione della nota a tutto il personale del comando. Il documento affisso conteneva numerosi dati personali relativi all'interessato, tra cui la fruizione di benefici di legge e le assenze dal servizio per malattia, nonché osservazioni di carattere personale formulate dal dirigente sulla condotta lavorativa del dipendente. In tal modo, osserva il Garante, «i destinatari della stessa, nonché tutti gli appartenenti al corpo di polizia municipale, sono stati resi edotti anche di un dato personale relativo allo stato di salute del reclamante, ovvero un riferimento a un infortunio, ancorché senza indicazione della diagnosi, ed all'assenza del reclamante dal servizio per malattia». Durante l'istruttoria, il titolare del trattamento ha addotto giustificazioni circa la buona fede e la successiva rimozione della nota dalle bacheche interne, ma tali elementi sono stati giudicati insufficienti a escludere la responsabilità, ai sensi dell'articolo 168 del codice privacy. Secondo l'Autorità infatti, «le dichiarazioni rese nel corso dell'istruttoria, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati». Alla luce delle violazioni accertate, è stata confermata l'illiceità del trattamento dei dati personali, in quanto la comunicazione a soggetti non autorizzati ha violato gli articoli 5, par. 1, lett. a), 6 e 9, par. 2, lett. b) del regolamento (UE) 2016/679, nonché l'articolo 2-ter del codice privacy. In considerazione di alcune circostanze attenuanti, tra cui la successiva adozione di misure correttive interne, l'Autorità ha determinato l'applicazione di una sanzione amministrativa pecuniaria ridotta, pari a 2.500 euro.
Provvedimento del 27 febbraio 2025, n. 101