In data 10 luglio 2025, il Garante per la Protezione dei Dati Personali ha sanzionato una società, condannandola al pagamento di € 50.000 e disponendo la pubblicazione del provvedimento sul proprio sito istituzionale a fini deterrenti, per l’illecito trattamento dei dati personali dei propri dipendenti (circa 890), effettuato secondo modalità in palese violazione del Regolamento UE 2016/679 (“Regolamento”) e del d.lgs. n. 196/2003.
A decorrere dall’anno 2020, la società coinvolta nel procedimento condotto dal Garante della Privacy aveva implementato una procedura in materia di salute e sicurezza dei lavoratori al rientro da periodi di assenza dovuti a malattia, infortunio o ricovero.
In particolare, prima della ripresa del servizio, la società sottoponeva i propri lavoratori al c.d. RTWI (Return to work interview), ovverosia a un colloquio con il responsabile gerarchico del singolo dipendente nel corso del quale quest’ultimo era chiamato a compilare un modulo contenente la richiesta di alcune informazioni attinenti alle proprie condizioni di salute.
Il modulo veniva compilato direttamente dal responsabile gerarchico sulla base delle dichiarazioni rese dal singolo dipendente durante il colloquio, per poi essere consegnato all’ufficio delle risorse umane al fine di valutare – di concerto con il medico competente – l’eventuale necessità di adottare iniziative per la tutela della salute e sicurezza del singolo.
Sulla base delle dichiarazioni rese dalla stessa società, questa procedura era volta a “garantire un corretto adempimento da parte del datore di lavoro dei propri doveri di tutela dell’integrità psicofisica dei lavoratori ai sensi dell’art. 2087 c.c.”.
In particolare, la finalità di tale colloquio era quella di intercettare eventuali situazioni di difficoltà/malessere sul luogo di lavoro e poter eventualmente fornire un supporto al dipendente e/o agevolare un suo rapido reinserimento al lavoro, per la tutela della salute psicofisica del lavoratore.
Scopo che veniva perseguito attraverso la sottoposizione del dipendente a domande quali: (i) se il dipendente ritenesse che l’assenza fosse dovuta ad una causa relativa al lavoro; (ii) se l’eventuale problema di salute sofferto dal dipendente fosse peggiorato negli anni; (iii) se il dipendente necessitasse di un colloquio con il medico competente aziendale; (iv) se il dipendente ritenesse necessaria l’implementazione da parte del datore di lavoro di ulteriori misure in ambito salute e sicurezza; (v) quale fosse stata la durata dell’ultimo periodo di assenza e a cosa fosse dovuta quest’ultima; e (vi) se il dipendente fosse a conoscenza di situazioni di disagio all’interno dell’organizzazione aziendale, etc.
Prima facie potrebbero non comprendersi le ragioni per cui una società sia stata sanzionata per aver implementato una simile attività, dato che la stessa parrebbe essere a garanzia della salute e sicurezza dei lavoratori ed annoverabile, in particolare, tra quelle di cui all’art. 41 d.lgs. n. 81/2008 (relativo alla sorveglianza sanitaria), con dichiarato pregevole obiettivo di eliminare situazioni di malessere all’interno dell’ambiente di lavoro.
Tuttavia, le modalità con cui la suindicata procedura veniva condotta erano in manifesta violazione della normativa in materia di protezione dei dati personali oltre che dello stesso d.lgs. n. 81/2008 (di seguito, anche, “Testo Unico sulla Sicurezza”).
Mediante il “colloquio di rientro al lavoro”, il datore di lavoro e titolare del trattamento raccoglieva una serie di dati relativi alla salute dei lavoratori, rientranti nel novero dei dati c.d. particolari di cui all’art. 9 del Regolamento, categoria di dati che – per la loro intrusività nella sfera personale del singolo – beneficiano di una tutela rafforzata.
Infatti, seppur le domande poste nel corso del RTWI non avessero direttamente ad oggetto informazioni sanitarie del dipendente intervistato, dalla formulazione di alcune di esse potevano derivare risposte contenenti dati relativi alla salute (dunque, dati particolari).
Ebbene, tale raccolta e, pertanto, trattamento di dati personali (rectius particolari) avveniva in assenza di un’idonea base giuridica, in violazione degli artt. 6 e 9 del Regolamento.
Secondo quanto sostenuto dalla Società, la base giuridica del trattamento poteva essere individuata sia nel consenso richiesto al lavoratore prima dello svolgimento del colloquio che nell’adempimento degli obblighi in materia di salute e sicurezza nei luoghi di lavoro di cui all’art. 2087 c.c.
Tuttavia, il Garante della Privacy ha rilevato che:
- ex 9, par. 2, del Regolamento, nell’ambito dei rapporti di lavoro, i dati particolari dei dipendenti possono essere trattati solo se ciò è “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”, non essendo, dunque, il mero consenso una base giuridica valida per il trattamento di tali categorie particolari di dati;
- anche volendo prescindere da quanto indicato al punto 1. che precede, il consenso prestato dai lavoratori nel caso sottoposto all’attenzione del Garante della Privacy non era libero, incondizionato, informato e specifico, come richiesto dall’art. 7 del Regolamento ai fini della sua validità; e
- parimenti, l’adempimento degli obblighi in materia di salute e sicurezza non può ritenersi un’idonea base giuridica del trattamento, dato che il colloquio effettuato dalla società non è annoverato tra quelli contemplati dal Testo Unico sulla Sicurezza, non rientrando nelle attività di sorveglianza sanitaria di cui all’art. 41 d.lgs. n. 81/2008, la quale sarebbe in ogni caso di esclusiva competenza del medico competente e non anche del datore di lavoro/responsabile gerarchico.
Con particolare riferimento al punto 2. che precede, la richiesta del consenso da parte del responsabile gerarchico diretto del singolo lavoratore non consentiva a quest’ultimo la totale libertà di scelta nel prestare o meno il consenso, stante l’asimmetria che caratterizza il rapporto sussistente tra lavoratore e datore di lavoro/superiore gerarchico, non potendosi ritenere, pertanto, che un simile consenso fosse libero ed incondizionato; allo stesso modo, il consenso non poteva neppure ritenersi informato e specifico, stante la mancata consegna ex ante al lavoratore di idonea informativa ex art. 13 del Regolamento in merito al trattamento dei dati specificamente posto in essere nel corso del RTWI.
Oltre a quanto sopra, il trattamento oggetto del provvedimento n. 390/2025 viola i principi di minimizzazione ex art. 5, par. 1, lett. c), del Regolamento e di limitazione di conservazione dei dati ex 5, par. 1, lett. e), del Regolamento.
Infatti, nel corso del colloquio di rientro al lavoro, venivano raccolte informazioni (quali l’indicazione dell’ultimo periodo di assenza, della tipologia di assenza e relativa durata nonché di eventuali restrizioni/limitazioni/prescrizioni previste dal medico competente, etc.) che dovrebbero essere già conosciute dall’ufficio delle risorse umane.
Pertanto, simili richieste informative sono da ritenersi ridondanti e configurano – come enfatizzato dal Garante della Privacy – un’“inutile duplicazione dell’acquisizione di dati”, in manifesta violazione del principio di minimizzazione.
Inoltre, in relazione al principio di limitazione della conservazione, la sua violazione è stata ravvisata nell’indeterminatezza di tale periodo.
Infatti, i dati raccolti tramite il colloquio di rientro al lavoro venivano dichiaratamente conservati per un periodo massimo di 10 anni ma, di fatto, di sovente cancellati non oltre il termine di 1 anno dalla loro raccolta.
Ebbene, quanto sopra genera un’intollerabile incertezza in capo all’interessato al trattamento dei propri dati, il quale – come chiaramente statuito dal Garante della Privacy – si trova nell’“impossibilità – informazione che invece sarebbe necessario per l’interessato possedere – di individuare chiaramente il periodo di conservazione e i criteri utilizzati per determinare tale periodo”.
Tutti gli elementi di cui sopra sono sintomatici di un trattamento di dati personali illecito, effettuato attraverso una raccolta di dati non pertinenti in quanto non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore e, dunque, in violazione della normativa in materia di protezione dei dati personali.
Oltre alla violazione della legge privacy, il Garante pone altresì in evidenza l’errata applicazione e interpretazione della normativa in materia di salute e sicurezza nel luogo di lavoro posta in essere dal datore di lavoro; in altri termini, con l’intento di adempiere diligentemente ai propri compiti di cui al d.lgs. n. 81/2008, la società ha ottenuto il risultato contrario: sconfinare l’ambito di attribuzioni proprie del datore di lavoro in ambito salute e sicurezza, con violazione della relativa normativa.
Con riferimento ai dati particolari relativi ai lavoratori, infatti, sussiste un riparto di competenza tra il datore di lavoro e il medico incaricato dello svolgimento della sorveglianza sanitaria (v. d. lgs. n. 81 del 2008).
Dal provvedimento del Garante della Privacy si evince che l’adempimento degli obblighi di protezione ex art. 2087 c.c. non impone, né autorizza, il datore di lavoro ad effettuare verifiche sanitarie (anche solo documentali) in luogo del Medico Competente e delle relative strutture sanitarie preposte, così confermando i principi in materia di dignità dei lavoratori già desumibili dalle norme dello Statuto dei Lavoratori e del Testo Unico sulla Sicurezza.
In sostanza, se da una parte il datore di lavoro ha l’obbligo di garantire la tutela della salute dei propri dipendenti, secondo il principio generale derivante dall’art. 2087 c.c., dall’altro, tale obbligo va adempiuto attenendosi in modo rigoroso alle modalità previste dalla legge per la sorveglianza sanitaria, le quali prevedono una delega del datore di lavoro in favore di professionisti sanitari terzi ed indipendenti (quali, per esempio, il medico competente), proprio a tutela della dignità e riservatezza dei lavoratori.
Come anticipato, pertanto, attività assimilabili al RTWI – anche se ritenute legittime – non sono di competenza del datore di lavoro, essendo compito esclusivo di figure quali il medico competente; nessuna deroga a tale riparto di attribuzione è consentita dalla legge.
In conclusione, dalla vicenda descritta, emerge che la (presunta) necessità di adempiere alla normativa in materia di salute e sicurezza non può essere addotta quale giustificazione di un trattamento dei dati in manifesta violazione della normativa privacy né di un indebito sconfinamento dei compiti ex lege attribuiti a figure professionali all’uopo individuate dal d.lgs. 81/2008 per l’espletamento delle funzioni nell’ambito della sorveglianza sanitaria.
L’equilibrio tra le due normative non risulta facile da individuare, ma è indispensabile garantire il rigoroso rispetto dei limiti e dei principi propri di ciascuna delle regolamentazioni in vigore.