Diffusione illecita delle cause di assenza del personale: sanzione del Garante della Privacy e limiti alla divulgazione dei dati sensibili in ambito lavorativo

Con il provvedimento n. 363 del 23 giugno 2025, il Garante per la Protezione dei Dati Personali ha irrogato una sanzione amministrativa pecuniaria di €10.000 nei confronti di una società di trasporti, ritenuta responsabile di aver illecitamente trattato dati personali particolari dei propri dipendenti, in violazione del Regolamento UE 2016/679 (GDPR).

.

I fatti: comunicazione indebita delle motivazioni di assenza. L’istruttoria è scaturita da un reclamo di alcuni lavoratori, i quali lamentavano che l’azienda affiggesse nei locali accessibili al personale i tabelloni dei turni di servizio, riportando accanto al nominativo del lavoratore assente una sigla identificativa della motivazione dell’assenza, tra cui: MAL per Malattia; INF per Infortunio; 104 per Permesso ex art. 33 della Legge n. 104/1992; PS per Permesso sindacale. Questa prassi, secondo l’Autorità Garante, ha determinato la diffusione di dati qualificabili come “categorie particolari di dati” ai sensi dell’art. 9 GDPR (stato di salute e appartenenza sindacale), a soggetti non legittimati a conoscerli, cioè gli altri dipendenti.

Il quadro normativo violato. Il Garante ha fondato la propria decisione su più disposizioni del GDPR; vediamole: 1) art. 5, par. 1, lett. c) – Principio di minimizzazione del trattamento: i dati trattati devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati". 2) Art. 9, par. 1 – Divieto generale di trattamento delle categorie particolari di dati personali, salvo specifiche eccezioni di cui al par. 2. Nel caso di specie, non sussisteva alcuna base giuridica che rendesse lecito il trattamento e la diffusione delle motivazioni dell’assenza. Il Garante ha chiarito che l’organizzazione dei turni non legittima di per sé la divulgazione di informazioni sensibili, e che 3) l’adempimento degli obblighi informativi ex art. 10 della Legge n. 138/1958 (specificamente riferita alle imprese di trasporto pubblico) non può estendersi alla comunicazione della causa dell’assenza, ma solo alla turnazione in senso stretto.

Il rigetto delle difese aziendali. La società ha tentato di giustificare la propria condotta invocando esigenze di trasparenza nella gestione dei turni e facendo riferimento a presunti obblighi normativi derivanti dalla citata legge del 1958. Entrambe le argomentazioni sono state ritenute infondate. Il Garante ha ribadito che le esigenze organizzative, pur legittime, non possono mai prevalere sui diritti fondamentali dei lavoratori, in primis il diritto alla riservatezza e alla protezione dei dati personali (v. anche artt. 1 e 2 della Carta dei diritti fondamentali dell’Unione Europea e art. 8 CEDU). Anche l'adozione tardiva di correttivi (sostituzione delle sigle con la generica "A" di assenza) non è stata considerata sufficiente a elidere l'illiceità del trattamento pregresso, né a escludere la responsabilità sanzionatoria.

La giurisprudenza e i precedenti richiamati. Il provvedimento richiama e consolida un orientamento giurisprudenziale e regolamentare già consolidato: Alcuni richiami: Provv. Garante Privacy n. 341/2014 e n. 105/2020, nei quali l’Autorità aveva già censurato prassi analoghe in ambito pubblico e privato; Linee guida del Garante del 2007 sul trattamento dei dati nei luoghi di lavoro, applicabili anche ai soggetti privati; **L’indirizzo del Consiglio di Stato, secondo cui il datore di lavoro può trattare dati sensibili solo se strettamente necessario e proporzionato rispetto alle finalità perseguite (ex multis, Cons. Stato, sez. VI, sent. n. 1571/2020).

Profili sanzionatori e misure accessorie. Alla violazione è conseguita: una sanzione amministrativa pecuniaria pari a €10.000, calcolata tenendo conto della gravità dell’illecito e della platea dei soggetti coinvolti; la pubblicazione del provvedimento sul sito del Garante, ai sensi dell’art. 58, par. 2, lett. d), GDPR, con finalità dissuasiva e di prevenzione generale.

Le nostre considerazioni Il caso in esame evidenzia come il datore di lavoro, nella gestione del personale, sia tenuto a un rigoroso rispetto dei principi del trattamento dei dati personali, anche laddove vi siano finalità organizzative legittime. La causa dell’assenza costituisce un dato particolarmente sensibile e, in quanto tale, non può essere oggetto di diffusione, neppure all’interno del luogo di lavoro dove chi tratta questi dati deve essere formalmente autorizzato. Il provvedimento in commento rappresenta un importante monito per le aziende, chiamate a coniugare l’efficienza gestionale con la tutela effettiva della dignità e della sfera privata del lavoratore, come previsto anche dall’art. 8 dello Statuto dei Lavoratori (L. n. 300/1970) e dagli artt. 2, 3 e 32 della Costituzione Italiana. Il team di Azione Sindacale ha già portato analoghe situazioni all’attenzione del Garante e degli uffici ispettivi competenti, riscontrando un rinnovato interesse per la tutela della privacy dei lavoratori. Concludiamo invitando i nostri lettori a segnalarci ogni violazione della normativa. Al resto, ci pensiamo Noi 

Approfondimento Il team di Azione Sindacale richiama alcune nozioni che è bene conoscere per difendere la propria riservatezza. Vediamole insieme: 

Chi può trattare i dati relativi alla malattia in azienda? In base al Regolamento (UE) 2016/679 (GDPR) e al D.lgs. 196/2003 (Codice Privacy), il trattamento dei dati sulla salute può essere effettuato solo da soggetti formalmente autorizzati e istruiti, sotto la responsabilità del Titolare del trattamento, ovvero il datore di lavoro. I soggetti che possono trattare legittimamente questi dati sono: Il datore di lavoro o il legale rappresentante dell’azienda, in quanto Titolare del trattamento; Dipendenti dell’ufficio del personale o HR (solo se formalmente designati e autorizzati -art. 29 GDPR + art. 2-quaterdecies Codice Privacy); **Responsabile del trattamento (es. studio paghe esterno): se nominato ai sensi dell’art. 28 GDPR, tramite apposito contratto. Sono esclusi tutti i soggetti non formalmente autorizzati (es. colleghi, superiori non coinvolti, personale IT, ecc.).

Ribadiamo che è obbligatoria, ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies del Codice Privacy, una autorizzazione formale al trattamento dei dati personali.  il Titolare deve designare per iscritto i soggetti autorizzati al trattamento, specificando i compiti e le istruzioni per il trattamento lecito e sicuro dei dati. (Art. 29 GDPR: "Il responsabile del trattamento o chiunque agisca sotto l’autorità del titolare [...] che abbia accesso a dati personali non può trattarli se non è istruito in tal senso dal titolare." L’art. 2-quaterdecies Codice Privacy: prevede la figura dell’"autorizzato al trattamento", sostitutiva della vecchia “nomina ad incaricato”. Riguardo alla formazione il titolare del trattamento ha l’obbligo di formare i soggetti autorizzati sui rischi del trattamento, soprattutto in relazione ai dati particolari (ex art. 9 GDPR), come quelli relativi alla salute (Art. 32 GDPR – Sicurezza del trattamento: il Titolare deve adottare misure adeguate, incluse la formazione e la consapevolezza dei dipendenti; Art. 39 GDPR – Obblighi del DPO (se nominato), tra cui la formazione e sensibilizzazione del personale). Arriviamo adesso a quello che dovrebbe maggiormente interessare il lavoratore che tratta questi dati; Cosa rischia il dipendente che rivela dati sensibili a terzi non autorizzati?  Non c’è proprio da stare allegri, la violazione della privacy costituisce un illecito amministrativo e, nei casi più gravi, anche penale. Possibili conseguenze: A) Sul piano amministrativo (per l’azienda e/o il Titolare)🡪 Sanzioni amministrative fino a €20 milioni o 4% del fatturato annuo mondiale, ai sensi dell’art. 83 GDPR; Provvedimenti del Garante (art. 58 GDPR), tra cui: ammonimenti, limitazioni del trattamento, obbligo di cancellazione dei dati, sospensione delle attività. B) Sul piano disciplinare (per il dipendente che diffonde dati) 🡪 Sanzioni disciplinari previste dal CCNL o regolamento interno; Possibile licenziamento per giusta causa, se la violazione è grave (es. divulgazione a terzi esterni di informazioni sanitarie).

C) Sul piano penale. Art. 167 del Codice Privacy (D.lgs. 196/2003) – Trattamento illecito di dati: → reclusione da 6 mesi a 3 anni se dal trattamento illecito deriva un danno.→ aggravante se riguarda categorie particolari di dati (art. 9 GDPR). La Cassazione penale, sez. V, sent. n. 14643/2021 conferma la rilevanza penale della diffusione non autorizzata di dati sanitari anche all’interno del contesto lavorativo.

 In sintesi – Obblighi e rischi

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail: azionesindacale.fvg@gmail.com