Stop del Garante Privacy alla prassi aziendale di divulgazione dei dati personali relativi ai motivi dell’ assenza dal lavoro del proprio personale tramite bacheche e email interne.
Le informazioni relative alle assenze venivano rese conoscibili non solo ai responsabili della gestione del personale, ma a tutto il personale, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda. Le motivazioni venivano indicate mediante sigle sintetiche (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “SOSP” in luogo di sospensione/sanzione disciplinare, ecc.)
L’ iter , sfociato nell’adozione del provvedimento n. 363/2025, trae origine dal reclamo del sindacato che ha segnalato l’ illecito trattamento. La società, interpellata dall’ Autorità con una richiesta di chiarimenti, ha fornito diverse argomentazioni a sua difesa.
In primo luogo, ad essere richiamato l’art. 10 della legge n. 138/1958, che prevede l’obbligo di affissione dei turni di servizio in modo che il personale ne possa prendere conoscenza. Secondo la società, la prassi di pubblicare i turni, con l’uso di sigle e acronimi, sarebbe stato funzionale a garantire trasparenza e a mostrare che non vi erano trattamenti di favore nella turnazione, oltre a tornare utile nella gestione dei rapporti tra colleghi evitando possibili conflitti.
Il Garante, pur prendendo atto della scelta da parte dell’azienda di modificare la prassi, ha applicato una sanzione amministrativa pecuniaria pari a 10.000 euro.
Nel provvedimento l’ Autorità ricorda che la normativa sulla protezione dei dati personali ammette che il datore di lavoro tratti i dati dei propri dipendenti, compresi quelli appartenenti alle categorie particolari – come i dati sulla salute o sull’appartenenza sindacale – ma solo se ciò risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi ( art. 6, parag. 1, lett. c) , art. 9, parag. 2, lett. b) e 4 ; 8 del Regolamento ).
In ogni caso, il datore di lavoro, in qualità di titolare del trattamento, deve sempre attenersi ai principi fondamentali fissati dal Reg. ( UE ) 2016/679, tra cui la liceità, correttezza e trasparenza e soprattutto la minimizzazione, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite ( art. 5, par. 1, lett. a) e c) ).
Nel caso oggetto del provvedimento, la minimizzazione del trattamento non è stata rispettata in quanto le informazioni sono state rese liberamente conoscibili a tutti i dipendenti, ben oltre i soggetti legittimati a trattarle, configurando così una “ comunicazione illecita “ di dati personali ai sensi dell’ art. 2, comma 4, del Codice.
I dati personali dei dipendenti, infatti, non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando all’interno dell’impresa, non è autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte.
Fonte: Garante Privacy