Il trattamento dei dati personali effettuato dalla Società che sottopone i lavoratori ad un colloquio con il proprio responsabile al rientro da periodi di assenza per malattia, redigendo un questionario contenente anche dati relativi alla salute, risulta non conforme alla disciplina di protezione dei dati personali.
Con il provvedimento 390/2025 il Garante Privacy ha sanzionato un’azienda a seguito di segnalazione sindacale nella quale veniva evidenziato una pratica diffusa all’ interno dell’azienda : dopo assenze per malattia, infortunio o ricovero, i lavoratori venivano sottoposti a un colloquio accompagnato da un questionario. Il documento, compilato da un diretto responsabile, veniva poi trasmesso all’Ufficio Risorse Umane che con il responsabile e/o con il medico competente valutava, in base a quanto rappresentato dall’azienda, eventuali iniziative a tutela della salute dei lavoratori, ad esempio modificando la postazione di lavoro o intervenendo sulle relazioni lavorative. Una prassi gestionale che, secondo gli scritti difensivi dell’ azienda, sarebbe volta a garantire il corretto adempimento dei propri doveri di tutela dell’integrità psicofisica dei lavoratori ai sensi dell’ art. 2087 C.C. .
Nonostante i buoni propositi, durante l’ istruttoria il Garante ha però riscontrato numerose violazioni, tra cui :
1. In violazione di quanto previsto dall’ art. 13 e art. 5, parag. 1, lett. a) del Reg. UE/2016/679, l’assenza di un’informativa chiara e trasparente ai dipendenti in merito allo specifico trattamento dei propri dati ;
2. In violazione degli art. 6 e 9 del Reg. UE/2016/679 l’ assenza di un’idonea condizione di liceità. Il trattamento posto in essere con la compilazione del questionario è risultato privo di base giuridica in quanto non rientrante nell’attività di sorveglianza sanitaria , attività che, comunque è, per espressa previsione normativa , di competenza esclusiva del medico competente e non del datore di lavoro;
3. La condotta posta in essere della società ha violato anche il principio di minimizzazione enunciato all’ art. 5, parag. 1, lett. c) del Reg. UE/2016/679, con un’inutile duplicazione dell’acquisizione di dati rispetto a quelli che l’ ufficio del personale avrebbe dovuto già legittimamente possedere;
4. In violazione degli art. 5, parag. 1, lett. e) e art. 88 Reg. UE/2016/679, l’Autorità ha inoltre ravvisato una conservazione di dati dei lavoratori non pertinenti ai fini della valutazione dell’attitudine professionale del lavoratore per un lasso di tempo ( 10 anni ) sproporzionato rispetto alle finalità per cui venivano raccolti.
Il Garante ha dunque ordinato all’azienda il divieto del trattamento dei dati e la cancellazione di quelli già raccolti e conservati. Nel comminare la sanzione di 50 mila euro, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, del fatto che il trattamento abbia riguardato anche dati sulla salute, del numero di dipendenti coinvolti (circa 890) e del fatturato dell’azienda.
WST Law & Tax