Con il provvedimento 363 del 23 giugno 2025 il Garante per la protezione dei dati personali torna a ribadire l'importanza, per i datori di lavoro pubblici e privati, di garantire un uso proporzionato dei dati dei dipendenti e di limitarsi all'utilizzo solo delle informazioni strettamente necessarie alla gestione del rapporto di lavoro.
Ecco tutti i dettagli del caso concluso con un sanzione di 10mila euro.
NOVITA': E' disponibile il tool di simulazione delle nuove detassazioni previste per il 2026 con aggiornamenti gratuiti fino alla approvazione definitiva della nuova legge di bilancio
Ti segnaliamo:
- Trasferte, trasferimenti e distacchi - eBook 2025
- Welfare aziendale & Fringe benefit | Libro di carta 2025
- Collegato Lavoro 2025: guida alle novità | eBook
- Informativa trasparenza ai lavoratori | eBook 2025
- ConvertiATECO 2022-2025 il file excel indispensabile per commercialisti, imprese e autonomi: trova, confronta e trasforma i codici ATECO 2022-2025 in pochi click!
Ti segnaliamo anche il libro di carta Il lavoro nello spettacolo: Guida agli aspetti contrattuali, fiscali e previdenziali di M.Matteucci, G. Ulivi, B. Garbelli, S. Ricci - Maggioli Editore - 164 pag
1) Il caso
Il caso trae origine da un reclamo presentato da un’organizzazione sindacale, in rappresentanza di alcuni lavoratori di una società di trasporto pubblico locale. L’oggetto della contestazione riguardava la gestione dei turni di servizio: nelle bacheche aziendali e tramite e-mail interne venivano diffusi prospetti contenenti le assenze dei dipendenti, e cui motivazioni venivano indicate con abbreviazioni. Le sigle (“MAL” per malattia, “INF” per infortunio, “104” per permessi legge n. 104/1992, “SOSP” per sanzioni disciplinari, ecc.) consentivano di risalire a informazioni personali e, in alcuni casi, a dati sensibili legati alla salute o all’appartenenza sindacale.
Secondo i ricorrenti, questa modalità costituiva un trattamento illecito dei dati personali poiché rendeva conoscibili a tutti i dipendenti informazioni non pertinenti al normale svolgimento del servizio.
Nella tabella le abbreviazioni utilizzate, molto chiare nel significato.
| Sigla | Significato |
|---|---|
| MAL | Malattia |
| 104 | Permesso legge 104/1992 |
| INF | Infortunio |
| SOSP | Sospensione disciplinare |
| PS | Permesso sindacale |
Ti segnaliamo:
- Intelligenza Artificiale e Risorse Umane libro di carta
- La gestione delle risorse umane in azienda eBook 2024
- La Busta paga 2025: guida operativa eBook
- La Busta paga in edilizia eBook
Per tanti altri prodotti editoriali visita la sezione dedicata agli E-book Lavoro , la Collana dei Pratici fiscali e la Collana Facile per tutti
2) La decisione del Garante
Dopo la richiesta di chiarimenti, la società aveva spiegato di essersi attenuta a quanto previsto dall’art. 10 della legge n. 138/1958, che obbliga ad affiggere i turni di servizio, e che l’uso delle sigle era giustificato per esigenze organizzative.
In seguito, l’azienda ha comunque eliminato le abbreviazioni, sostituendole con un generico indicatore di assenza.
L’Autorità ha però rilevato che i prospetti resi disponibili a tutto il personale costituivano una comunicazione non legittima di dati personali.
È stato ribadito che, ai sensi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018, i datori di lavoro possono trattare dati particolari dei dipendenti solo se strettamente necessari e con modalità che rispettino i principi di liceità, correttezza, trasparenza e minimizzazione. Le sigle usate, seppur abbreviate, permettevano di conoscere dettagli sensibili sulle condizioni di salute o sulla vita sindacale dei lavoratori, senza che vi fosse un idoneo presupposto normativo.
- Guida alle agevolazioni all'assunzione 2025 - eBook
- Informativa trasparenza ai lavoratori - eBook
- Collaborazioni coordinate e continuative 2024 - eBook
- Decreto Coesione: bonus e agevolazioni - eBook
Per tanti altri prodotti utili visita la sezione dedicata agli E-book Lavoro e la Collana dei Pratici fiscali
3) Motivazione e sanzioni
Con il provvedimento il Garante ha dunque dichiarato illecito il trattamento dei dati, ritenendo violati gli artt. 5, par. 1, lett. c) e 9, par. 2, del Regolamento. Considerato che la società aveva successivamente modificato la prassi, non sono state imposte misure correttive ulteriori, ma è stata disposta una sanzione amministrativa pecuniaria di 10.000 euro. La decisione sarà pubblicata sul sito dell’Autorità, come previsto dall’art. 166 del Codice, anche con finalità dissuasive.
Il caso sottolinea l’importanza, per i datori di lavoro pubblici e privati, di garantire un uso proporzionato dei dati dei dipendenti e di limitarsi a informazioni strettamente necessarie alla gestione del rapporto di lavoro, senza eccedere nella diffusione di elementi che possano rivelare aspetti sensibili della vita privata dei lavoratori.
Ti potrebbero interessare:
- Software DPIA Easy - Valutazione impatto sulla protezione dati
- La Privacy negli studi professionali (eBook)
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
