Stop del Garante Privacy alla prassi aziendale di divulgazione dei dati personali relativi ai motivi dellโ assenza dal lavoro del proprio personale tramite bacheche e email interne.
Le informazioni relative alle assenze venivano rese conoscibili non solo ai responsabili della gestione del personale, ma a tutto il personale, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali, nonchรฉ tramite lโinvio di una e-mail ai dipendenti dellโazienda. Le motivazioni venivano indicate mediante sigle sintetiche (โMALโ in luogo di malattia, โ104โ in luogo di โpermesso assistenza disabili, l. n. 104/1992โ, โSOSPโ in luogo di sospensione/sanzione disciplinare, ecc.)
Lโ iter, sfociato nellโadozione del provvedimento n. 363/2025, trae origine dal reclamo del sindacato che ha segnalato lโ illecito trattamento. La societร , interpellata dallโ Autoritร con una richiesta di chiarimenti, ha fornito diverse argomentazioni a sua difesa.
In primo luogo, ad essere richiamato lโart. 10 della legge n. 138/1958, che prevede lโobbligo di affissione dei turni di servizio in modo che il personale ne possa prendere conoscenza. Secondo la societร , la prassi di pubblicare i turni, con lโuso di sigle e acronimi, sarebbe stato funzionale a garantire trasparenza e a mostrare che non vi erano trattamenti di favore nella turnazione, oltre a tornare utile nella gestione dei rapporti tra colleghi evitando possibili conflitti.
Il Garante, pur prendendo atto della scelta da parte dellโazienda di modificare la prassi, ha applicato una sanzione amministrativa pecuniaria pari a 10.000 euro.
Nel provvedimento lโ Autoritร ricorda che la normativa sulla protezione dei dati personali ammette che il datore di lavoro tratti i dati dei propri dipendenti, compresi quelli appartenenti alle categorie particolari โ come i dati sulla salute o sullโappartenenza sindacale โ ma solo se ciรฒ risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi (art. 6, parag. 1, lett. c) , art. 9, parag. 2, lett. b) e 4 ; 8 del Regolamento).
In ogni caso, il datore di lavoro, in qualitร di titolare del trattamento, deve sempre attenersi ai principi fondamentali fissati dal Reg. ( UE) 2016/679, tra cui la liceitร , correttezza e trasparenza e soprattutto la minimizzazione, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalitร perseguite ( art. 5, par. 1, lett. a) e c) ).
Nel caso oggetto del provvedimento, la minimizzazione del trattamento non รจ stata rispettata in quanto le informazioni sono state rese liberamente conoscibili a tutti i dipendenti, ben oltre i soggetti legittimati a trattarle, configurando cosรฌ una โ comunicazione illecita โ di dati personali ai sensi dellโ art. 2, comma 4, del Codice.
I dati personali dei dipendenti, infatti, non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando allโinterno dellโimpresa, non รจ autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte.
Fonte: Garante Privacy – Lavorosi.it
