Il Garante per la protezione dei dati personali è recentemente intervenuto con una sanzione significativa nei confronti di un’azienda del settore automotive che, al rientro dei dipendenti dopo periodi di assenza per malattia o infortunio, imponeva la compilazione di un questionario da parte del diretto superiore (Provvedimento n.10154148 del 10 luglio 2025). Questo documento, poi inoltrato all’ufficio risorse umane e al medico competente, conteneva informazioni sui motivi dell’assenza, lo stato psicofisico del lavoratore, le sue abitudini di vita e la sua eventuale necessità di supporto. L’obiettivo dichiarato dall’azienda era quello di individuare interventi migliorativi dell’ambiente lavorativo, come la riallocazione della postazione o misure di supporto. Tuttavia, la modalità adottata è risultata fortemente lesiva della privacy dei lavoratori.
Il Garante ha rilevato diverse violazioni del Regolamento europeo sulla protezione dei dati (GDPR). Innanzitutto, i lavoratori non erano stati adeguatamente informati circa le finalità e le modalità del trattamento dei loro dati personali e, in particolare, dei dati sulla salute, che rientrano tra quelli particolarmente sensibili tutelati dall’articolo 9 del Regolamento. Inoltre, è emerso che l’azienda non aveva alcuna valida base giuridica per la raccolta e l’utilizzo di queste informazioni: non si trattava di adempimenti previsti per legge, né era configurabile un interesse legittimo tale da giustificare un’ingerenza così invasiva nella sfera privata dei dipendenti. Un ulteriore profilo critico riguardava la sproporzionata durata della conservazione dei questionari, archiviati per un periodo massimo di dieci anni e riferiti a circa 890 dipendenti: una scelta che ha violato in modo evidente il principio di minimizzazione e pertinenza previsto dal GDPR.
Alla luce di queste violazioni, l’Autorità ha deciso non solo di vietare la prosecuzione di tali trattamenti, ma anche di ordinare la cancellazione dei dati già raccolti e, soprattutto, di applicare una sanzione amministrativa pecuniaria pari a 50.000 euro. L’importo è stato determinato considerando diversi fattori, tra cui la natura particolarmente delicata dei dati trattati, la durata della prassi illecita, il numero elevato di persone coinvolte e la rilevante dimensione dell’azienda sanzionata.
Non è la prima volta che il Garante interviene su tematiche simili. Già nel 2024 un’altra azienda era stata sanzionata per aver gestito in modo improprio i certificati medici giustificativi delle assenze dal lavoro. In quel caso, i moduli contenevano informazioni che permettevano di desumere dettagli sullo stato di salute dei dipendenti, come il reparto medico di riferimento o la specializzazione del professionista, rivelando in modo indiretto patologie o situazioni cliniche riservate. Anche allora, l’Autorità aveva ribadito la necessità di limitare al minimo indispensabile il trattamento dei dati sanitari, nel rispetto dei principi di liceità, proporzionalità e riservatezza.
Quanto accaduto rappresenta un importante monito per le imprese: le iniziative rivolte al benessere organizzativo, per quanto apprezzabili nelle intenzioni, non possono mai tradursi in una raccolta indiscriminata di dati personali, soprattutto se relativi alla salute. Qualsiasi trattamento di questo tipo deve essere sorretto da una base giuridica solida, preceduto da un’informativa chiara e proporzionato rispetto agli obiettivi perseguiti. È fondamentale che i datori di lavoro, supportati da consulenti del lavoro, responsabili privacy e RSPP, pongano estrema attenzione alla progettazione delle procedure interne, integrando fin dall’inizio i principi di protezione dei dati (privacy by design) e prevedendo misure tecniche e organizzative adeguate.
La protezione della riservatezza dei lavoratori non è un ostacolo all’organizzazione aziendale, ma una garanzia di correttezza e legalità. Il rispetto delle regole in materia di privacy non è solo un obbligo normativo, ma anche un elemento di fiducia e di trasparenza nei rapporti tra azienda e dipendenti. Questo recente provvedimento del Garante ne è la dimostrazione concreta.
Alice Colussi – Centro Studi CGN
