by 
Il Garante privacy ha ordinato recentemente il pagamento di 4mila euro a titolo di sanzione amministrativa pecuniaria a un liceo che sul portale utilizzato dall’Istituto anche con funzionalità di registro elettronico, ha pubblicato una circolare riguardante le ferie estive dei collaboratori scolastici recante, in allegato, un prospetto del piano ferie che riportava, in corrispondenza del nominativo proprio e di altro personale, il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104 e, in particolare, l’indicazione “104”.
L’istituto ha spiegato che “la pubblicazione del piano ferie del personale collaboratore scolastico avviene normalmente (…) nell’ambito dell’area ad accesso riservato del registro elettronico del Liceo sul portale. Ciascun lavoratore dispone di credenziali di accesso che gli consentono di prendere visione della bacheca digitale interna, nella quale vengono pubblicate le comunicazioni di valenza interna ed ogni altro documento di valore organizzativo. Ciascuna comunicazione viene indirizzata esclusivamente al lavoratore o alla categoria interessata dalla comunicazione stessa”.
Aggiungendo che la svista sarebbe stata determinata per “l’enorme pressione conseguente alle esigenze di comunicazione e tracciamento dei contatti in seguito emergenza COVID“.
Il Garante per la protezione dei dati personali ha però spiegato che “i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 dello stesso), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8, e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento)“.
Pertanto, “il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento)“.
Il Garante ricorda l’art. 4 par.1, n. 15 del Regolamento, per cui sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, si precisa che, come recentemente chiarito dal Garante, anche il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona.
