Sanzionato Ente per controlli illegittimi su dipendente in malattia
Il Garante per la protezione dei dati personali ha inflitto una sanzione di 15.000 euro ad un Ente per aver violato la normativa sulla privacy attraverso controlli illegittimi su una dipendente assente per malattia. Il caso, emerso da un reclamo presentato dall'ex dipendente comunale, ha portato alla luce gravi violazioni del Regolamento europeo sulla protezione dei dati (GDPR) e dello Statuto dei Lavoratori.
La vicenda ha avuto origine quando il Comune ha avviato un procedimento disciplinare nei confronti di una dipendente, utilizzando filmati di videosorveglianza per documentare presunte violazioni degli obblighi lavorativi. L'amministrazione aveva installato telecamere sulla pubblica via senza le necessarie autorizzazioni e aveva utilizzato le riprese per finalità diverse da quelle dichiarate.
Il caso si è aggravato quando l'Amministrazione ha incaricato un collaboratore comunale di filmare la dipendente durante il periodo di malattia mentre pranzava con colleghe fuori dagli orari di reperibilità. Il video, registrato con un dispositivo privato, è stato trasmesso tramite messaggistica istantanea al telefono personale della Sindaca e successivamente utilizzato nel procedimento disciplinare che ha portato al licenziamento della lavoratrice.
Il Garante ha accertato multiple violazioni della normativa sulla privacy. In primo luogo, il sistema di videosorveglianza comunale non rispettava i requisiti di liceità previsti dal GDPR, essendo stato installato senza adeguata base giuridica e senza la necessaria valutazione di impatto sulla protezione dei dati. Particolarmente grave è risultata altresì la violazione dell'articolo 4 dello Statuto dei Lavoratori, che disciplina i controlli a distanza sui dipendenti.
Nel caso in questione, il Comune ha utilizzato le telecamere di videosorveglianza, originariamente installate per la sicurezza urbana, per verificare il comportamento lavorativo della dipendente, violando il principio di limitazione delle finalità del trattamento dei dati. Inoltre, ha svolto attività investigative durante il periodo di malattia della lavoratrice senza avvalersi degli strumenti legittimi previsti dall'ordinamento, come le visite fiscali.
Il Garante ha comminato due distinte sanzioni: 5.000 euro per le violazioni relative al sistema di videosorveglianza pubblico e 10.000 euro per i controlli illegittimi in ambito lavorativo. Quest'ultima sanzione è stata considerata più grave in quanto ha comportato "rilevanti ripercussioni nella sfera personale e lavorativa della reclamante", culminate nel licenziamento senza preavviso.
La decisione sottolinea come il trattamento abbia violato i principi fondamentali del GDPR, in particolare quelli di liceità, correttezza, trasparenza e minimizzazione dei dati. Il Comune non aveva fornito adeguata informativa agli interessati e aveva omesso di eseguire la valutazione di impatto sulla protezione dei dati, obbligatoria per i trattamenti che presentano rischi elevati.
La fattispecie rappresenta un importante precedente per le pubbliche amministrazioni, evidenziando come l'utilizzo di sistemi di videosorveglianza e i controlli sui dipendenti debbano rispettare rigorosamente la normativa sulla privacy e i diritti dei lavoratori. Come stabilito dalla giurisprudenza, l'illegittimità dei controlli investigativi per assenza del presupposto del fondato sospetto comporta l'inutilizzabilità dei dati e delle informazioni raccolti.
Il provvedimento del Garante, che sarà pubblicato sul sito dell'Autorità, costituisce un monito per tutte le amministrazioni pubbliche sull'importanza di bilanciare correttamente le esigenze di controllo con il rispetto dei diritti fondamentali dei lavoratori e della privacy dei cittadini.