Nei Provvedimenti in esame (Garante protezione dati personali n. 363 del 23 giugno 2025 e 386 del 10 luglio 2025), che qui si commentano, il Garante torna sul tema del trattamento e della diffusione dei dati personali e particolari dei lavoratori dipendenti, privati come pubblici.

Vediamo i fatti da cui muovono i reclami all’Autorità e le relative pronunce in esame.

Nel primo caso, un’azienda ha divulgato – seppur utilizzando sigle sintetiche – gli specifici motivi di assenza dei dipendenti, attraverso l’uso di bacheche aziendali e di e-mail recanti indicazione dei turni di servizio.

Nel secondo caso, un ateneo ha mantenuto attiva la casella di posta elettronica di un docente a contratto, il cui rapporto di lavoro era cessato (conservando i messaggi in entrata ed in uscita, almeno per due anni), seppur resettando la password di accesso e bloccando l’account dell’interessato.

Ebbene. Entrambi i datori, sia l’azienda di trasporto pubblico locale, servizi turistici e noleggio autobus, sia l’università in questione, sono stati multati dall’Autorità, con una sanzione amministrativa pecuniaria pari, per il primo caso, ad Euro diecimila (!) e per il secondo ad Euro quattromila.

Si tratta, per il Garante, in entrambi i casi, di illecito trattamento dei dati sensibili dei lavoratori. I principi che devono orientare il trattamento da parte del titolare, in questo caso del datore di lavoro, sono quelli noti della liceità, correttezza, trasparenza e minimizzazione, nel senso di essere adeguati, pertinenti e limitati rispetto alle finalità della raccolta e del trattamento stesso (art. 5, par. 1, lett. c del GDPR Regolamento (UE) 2016/679).

Nel caso di specie, la prima società ha diffuso prospetti contenenti le assenze dei dipendenti, indicandone altresì la motivazione, anche se in forma abbreviata, per es.: SOSP per Sospensione disciplinare (sic!). I dati erano affissi in bacheche aziendali presenti nei depositi e condivisi anche via e-mail con i lavoratori.

L’azienda si è (debolmente) difesa, adducendo il rispetto dell’art. 10 della l. 138 del 1958, nonché le superiori esigenze organizzative (garantire trasparenza e prevenire conflitti tra i turnisti).

La norma citata, però, non autorizza affatto la divulgazione delle ragioni di assenza, pur sancendo l’obbligo di affissione dei turni di servizio, e quindi, per il Garante, non sussiste l’idoneo presupposto normativo a sostegno della condotta del datore.

Peraltro, sempre a parere del Garante, in tema di soggetti interessati al trattamento, i colleghi di lavoro non sono soggetti legittimati a conoscere tali informazioni, che, per la natura che hanno, devono restare confidenziali.

L’azienda ha, quindi, ecceduto nella diffusione di elementi rivelatori di aspetti sensibili della vita privata dei lavoratori, ledendone i diritti fondamentali. Tali dati – riportati nei tabelloni dei turni di lavoro – possono farsi, infatti, rientrare nelle categorie indicate dall’art. 9 del GDPR (id est, informazioni relative alla salute ed alla appartenenza sindacale).

In questo caso, l’azienda si è parzialmente ravveduta, anche se nel corso del procedimento, modificando la propria prassi e sostituendo le sigle specifiche con una generica lettera “A” per indicare l’assenza. Ciò non è però bastato ad evitarle la pesante sanzione inflitta.

Nel secondo caso di specie, l’ateneo laziale ha per lungo tempo tenuto attiva la casella di posta elettronica di un docente a contratto, ben dopo la fine del suo incarico.

Le ragioni addotte dall’università, a sostegno della propria condotta, sono relative alla asserita c.d. archiviazione nel pubblico interesse, nonché ad un uso improprio dell’account da parte dell’ex- docente. L’ateneo dichiarava, altresì, di non aver fatto mai accesso alla casella di posta dell’ex-professore ed in extremis avanzava l’ipotesi che – essendosi in periodo di pandemia da covid-19 – potesse essere incorso in mero errore materiale.

Anche in questo caso, l’incolpato si era anche già parzialmente ravveduto: i mittenti, infatti, ricevevano il messaggio automatico “Delivery Status Notification (Failure)” allorquando inviavano una e-mail all’indirizzo dell’ex-docente.

Per il Garante, però, l’ateneo è rimasto sostanzialmente inerte, perché ha omesso – almeno per un lungo periodo di tempo – di adottare misure finalizzate a rendere edotti i terzi mittenti della circostanza che il docente non avesse più la possibilità di accedere ai messaggi ricevuti, né l’università aveva fornito un indirizzo alternativo di contatto.

Anche in questa seconda ipotesi, a parere dell’Autorità, risultano violati i principi-base della liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR), nonché quelli della necessità, pertinenza e non eccedenza anche nella conservazione dei dati (art. 5, par. 1, lett. e, GDPR), pure in relazione al tema della segretezza della corrispondenza come diritto di rango costituzionale.

Carenti, dunque, anche in questo secondo caso, gli elementi di liceità del trattamento, come nella prima fattispecie esaminata, manca proprio la base giuridica prevista dalla normativa di settore: la necessità del trattamento ed il consenso dell’interessato (art. 6 GDPR).

Non possiamo tralasciare che, nella seconda pronuncia in esame, vengono altresì in evidenza anche altri profili, sulla base dei quali il garante ha multato l’ateneo, relativi ai diritti dell’interessato. Lo stesso, infatti, non avrebbe risposto correttamente alle richieste di accesso e cancellazione dei dati formulate dal reclamante, nonché avrebbe mantenuto online documenti contenenti informazioni personali riguardanti lo stesso, oltre i limiti di legge (art. 12, parr. 3 e 4, art. 17 e art. 21 GDPR – art. 2-ter, Codice il Codice in materia di protezione dei dati personali D.lgs. n. 196/2003, modificato dal D.lgs. n. 101/2018).

Circostanza curiosa che, con provvedimento sempre del 10 luglio 2025 (n. 412), il Garante abbia dato parere favorevole ad ulteriori formati standardizzati che le PP.AA. e gli altri soggetti obbligati alla trasparenza debbono utilizzare per le pubblicazioni online. Anche la trasparenza – in accordo anche con quanto già stabilito da ANAC con la delibera n. 495 del 2024 – deve uniformarsi a criteri di legalità, necessità e proporzionalità.

La privacy, in sintesi, è un diritto costituzionalmente tutelato, che funge da limite alla trasparenza amministrativa, anche nel caso di parte datoriale pubblica. Il ragionevole bilanciamento tra pubblicazione e riservatezza può essere realizzato, il Garante lo ribadisce nelle due pronunce di cui sopra, attraverso il rispetto dei principi fondamentali che informano la normativa sulla protezione dei dati personali.

Riassumendo, dunque, l’Autorità ribadisce concetti-cardine imprescindibili e non negoziabili nel trattamento dei dati dei lavoratori dipendenti, fungendo da monito per i datori privati e pubblici che intendano interferire con la sfera privata del lavoratore, ledendo diritti che vanno da quello alla salute al diritto alla riservatezza e all’oblio.

Chiara Iodice, funzionario pubblico

Visualizza i documenti: Garante privacy provvedimento 23 giugno 2025, n. 363; Garante privacy provvedimento 10 luglio 2025, n. 386

Scarica il commento in PDF

L'articolo Curiosità aziendale: il Garante consolida il proprio orientamento sulla c.d. minimizzazione dell’uso dei dati da parte del datore di lavoro sembra essere il primo su Rivista Labor - Pacini Giuridica.