IL GARANTE DELLA PRIVACY SI PRONUNCIA SULLA PUBBLICAZIONE DELLE ASSENZE DEI DIPENDENTI DAL LAVORO TRAMITE BACHECHE ED E-MAIL INTERNE

team valletta Adriano Garofalo, Contenzioso, Gaspare Roma, Marco Stillo, Protezione dei Dati e Cybersecurity, Pubblicazioni

In data 23 giugno 2025, il Garante per la Protezione dei Dati Personali si è pronunciato sul reclamo con cui la FAISA Cisal Molise lamentava un illecito trattamento di dati personali, da parte della SATI S.p.A. Società Autocooperative Trasporti italiani (“Società”), consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale. Più particolarmente, tali informazioni venivano rese disponibili a tutti i dipendenti mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda. Di conseguenza, il Garante aveva avviato un procedimento per l’adozione dei provvedimenti correttivi e sanzionatori per la violazione degli articoli 5, paragrafo 1, lettere b) e c)[1], e 9, paragrafo 2, lettera b)[2] del Regolamento (UE) 2016/679 (General Data Protection Regulation, GDPR)[3]. Il Garante ha preliminarmente ricordato che, in generale, ai sensi della disciplina vigente in materia, il datore di lavoro può trattare i dati personali dei propri dipendenti, anche relativi a categorie particolari, come quelli sulla salute, solo se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o da contratti collettivi. In ogni caso, la società, titolare del trattamento, è tenuta a rispettare i principi di protezione dei dati, tra cui liceità, correttezza, trasparenza e minimizzazione. Ciò significa, tra l’altro, astenersi dal trattare dati non necessari rispetto alle finalità perseguite e garantire che l’accesso sia limitato esclusivamente ai soggetti che ne hanno effettiva necessità. Nel caso concreto, i dati personali non erano riservati ai soli lavoratori che ne avessero necessità per la propria mansione, come il personale delle risorse umane, ma risultavano accessibili all’intera forza lavoro. Diversamente da quanto sostenuto dalla Società, pertanto, i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti che, nonostante operino presso l’impresa, non siano autorizzati ad accedervi in ragione delle mansioni svolte, come i dipendenti addetti al servizio di trasporto. Ciò risulta ancor più rilevante considerando che le motivazioni dell’assenza di un lavoratore possono rivelare dati particolarmente delicati, come quelli sulla salute del dipendente e dei suoi familiari. Tutto ciò premesso, il trattamento effettuato dalla Società, consistente nella comunicazione di dati relativi alle cause dell’assenza da lavoro, risulta illecito in quanto avvenuto in assenza di un idoneo presupposto di liceità ai sensi del GDPR nonché in violazione dei principi base dell’ordinamento. Di conseguenza, il Garante ha deciso di infliggere alla Società un’ammenda pari a 10.000 euro. L’illiceità del trattamento dei dati personali sotto il profilo privacy impatta anche sull’eventuale utilizzabilità degli stessi ai fini giuslavoristici di gestione del rapporto di lavoro, con la conseguenza che risulterà necessario non diffondere i dati delle assenze dei lavoratori con soggetti diversi dalle parti del rapporto contrattuale e nello specifico con coloro che, ancorché operanti presso la società datrice di lavoro, non siano autorizzati ad accedervi in ragione delle mansioni svolte.  

Scarica l’articolo

[1] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettere b) e c) dispone: “… I dati personali sono:(…)
  1. b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
  2. c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)…”.
[2] L’articolo 9 GDPR, intitolato “Trattamento di categorie particolari di dati personali”, al paragrafo 2 lettera b) dispone: “… Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (…)
  1. b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato…”.
[3] GUUE L 119 del 04.05.2016.