E-mail cumulativa ai dipendenti: ammonimento del Garante Privacy

Il Garante per la protezione dei dati personali, con il provvedimento 582  del 9 ottobre 2025 (doc. web n. 10191660), è intervenuto su un caso di trattamento improprio di dati dei dipendenti all’interno di una pubblica amministrazione. L’Autorità ha valutato come illecito l’invio di una comunicazione collettiva contenente informazioni relative allo stato di avanzamento dei percorsi formativi obbligatori sulla piattaforma Syllabus con la specificazione dei nominativi dei dipendenti inadempienti .

L’analisi condotta dal Garante ha richiamato i principi fondamentali del Regolamento (UE) 2016/679 e del d.lgs. 196/2003, in particolare i principi di liceità, correttezza, trasparenza e minimizzazione dei dati (art. 5, par. 1, lett. a) e c) del Regolamento), oltre alla disciplina sull’ammissibilità della comunicazione di dati personali da parte dei soggetti pubblici (art. 6 del Regolamento e art. 2-ter del Codice Privacy). Il provvedimento rappresenta un richiamo importante per datori di lavoro pubblici e privati, nonché per consulenti e responsabili della gestione del personale, in merito alla necessità di adottare modalità di comunicazione che tutelino la riservatezza dei lavoratori.

1) Il caso: invio elenco dei dipendenti con mancata informazione

La vicenda trae origine dal reclamo di un dipendente che aveva ricevuto, insieme ad altri colleghi, una email cumulativa proveniente dall’ufficio di segreteria dell’amministrazione  riguardante la formazione obbligatoria del personale

Come ricostruito dal Garante nel provvedimento, l’amministrazione aveva attivato percorsi formativi obbligatori rivolti a tutto il personale e  ridosso della scadenza  l’ente aveva predisposto un elenco dei dipendenti che risultavano inadempienti  e aveva provveduto a inviare un’unica comunicazione collettiva di sollecito.

Dagli atti istruttori emerge che l’amministrazione aveva già tentato contatti individuali e telefonici, e che la scelta di procedere con un unico invio cumulativo era stata motivata dalla volontà di accelerare l’adempimento e di garantire il buon funzionamento dell’ufficio, anche alla luce delle difficoltà organizzative e della carenza di personale.

La comunicazione, tuttavia, rendeva reciprocamente conoscibili ai destinatari informazioni non necessarie,  integrando un trattamento di dati personali non strettamente pertinente rispetto alle finalità perseguite. 

2) La decisione del garante: niente sanzioni

Il Garante ha ritenuto che l’invio cumulativo della comunicazione fosse illegittimo, in quanto contrario ai principi di protezione dei dati richiamati dall’art. 5 del Regolamento (UE) 2016/679. L’Autorità ha rilevato che la scelta organizzativa adottata dall’amministrazione non fosse idonea a giustificare la diffusione interna di informazioni riferite ai lavoratori, poiché un invio individuale avrebbe permesso di perseguire le stesse finalità senza pregiudicare la riservatezza degli interessati.

In particolare, il Garante ha richiamato:

• il principio di minimizzazione, secondo cui devono essere trattati solo i dati adeguati e pertinenti rispetto alle finalità (art. 5, par. 1, lett. c) del Regolamento).
• il  principio di liceità e correttezza, che impone al datore di lavoro di limitare l’accessibilità ai dati ai soli soggetti autorizzati (art. 5, par. 1, lett. a) del Regolamento).

Le Linee guida del 14 giugno 2007 sulla gestione dei dati dei dipendenti in ambito pubblico, tuttora rilevanti, che raccomandano comunicazioni individualizzate e l’adozione di misure idonee a prevenire la conoscibilità ingiustificata di informazioni personali.

L’Autorità ha inoltre escluso la possibilità di qualificare la comunicazione come una semplice informativa di servizio priva di contenuti sensibili, sottolineando che i dati riguardavano comunque l’esecuzione di un obbligo formativo individuale e potevano risultare idonei a incidere sulla percezione professionale dei lavoratori.

Alla luce degli elementi emersi, il Garante ha dichiarato illecita la comunicazione dei dati e ha disposto l’ammonimento dell’amministrazione, ma senza sanzioni in quanto la violazione è  stata valutata  di entità contenuta e alla luce del comportamento collaborativo dell’ente  che ha emesso una  circolare interna finalizzata a prevenire il ripetersi di situazioni analoghe.