Divulgazione dei dati sulle assenze dei dipendenti

La decisione del Garante Privacy, provvedimento n. 363/2025 allegato, ha sanzionato un'azienda per la divulgazione illecita dei dati sulle assenze dei dipendenti, inclusi i motivi, tramite bacheche aziendali ed e-mail.

L'Autorità ha ritenuto che la prassi aziendale, pur giustificata dalla necessità di trasparenza e gestione dei turni, non rispettasse i principi di minimizzazione e liceità del trattamento dei dati personali.

Sebbene i datori di lavoro possano trattare dati sensibili per la gestione del rapporto lavorativo, tali informazioni devono essere limitate e accessibili solo a chi ne ha stretta necessità, evitando una "comunicazione illecita" a tutti i dipendenti. La sanzione di 10.000 euro sottolinea l'importanza del rigoroso rispetto della normativa sulla protezione dei dati personali, anche in contesti di routine aziendale.

La condivisione dei dati dei dipendenti in ambito lavorativo è regolata da principi fondamentali stabiliti dal Regolamento (UE) 2016/679 sulla protezione dei dati personali, ai quali il datore di lavoro, in qualità di titolare del trattamento, deve sempre attenersi.

I principi principali includono:

  • Liceità, correttezza e trasparenza: questi sono principi basilari che devono guidare ogni trattamento di dati personali.
  • Minimizzazione dei dati: questo è un principio di particolare importanza, che impone di limitare il trattamento ai soli dati che sono adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite. Nel caso specifico di un provvedimento del Garante Privacy, questo principio non è stato rispettato poiché le informazioni sulle assenze dei dipendenti (come "MAL" per malattia o "104" per permesso assistenza disabili) sono state rese liberamente conoscibili a tutti i dipendenti, ben oltre i soggetti legittimati a trattarle. Tale condotta ha configurato una "comunicazione illecita" di dati personali.
  • Necessità e specificità delle finalità: il datore di lavoro può trattare i dati dei propri dipendenti, inclusi quelli appartenenti a categorie particolari (come i dati sulla salute o sull'appartenenza sindacale), ma solo se ciò risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi (come indicato dagli articoli 6, paragrafo 1, lettera c), 9, paragrafo 2, lettere b) e 4, e 8 del Regolamento).
  • Limitazione della comunicazione a soggetti autorizzati: dati personali dei dipendenti non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando all'interno dell'impresa, non è autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte. La divulgazione delle motivazioni delle assenze tramite bacheche aziendali o e-mail interne a tutto il personale è stata esplicitamente vietata dal Garante Privacy perché eccedente i soggetti legittimati.

Sebbene il datore di lavoro abbia argomentato che la pubblicazione dei turni con sigle fosse funzionale a garantire trasparenza, a mostrare l'assenza di trattamenti di favore e a evitare conflitti tra colleghi, il Garante ha comunque ritenuto la prassi illecita e ha applicato una sanzione amministrativa.

I limiti legali impongono che la divulgazione delle informazioni personali dei lavoratori sia strettamente necessaria per scopi legittimi legati al rapporto di lavoro o ad obblighi di legge, sia minimizzata al solo indispensabile e sia accessibile unicamente a soggetti espressamente autorizzati e coinvolti nel rapporto contrattuale o nelle mansioni pertinenti. Qualsiasi prassi che ecceda questi limiti, come la divulgazione generalizzata delle motivazioni delle assenze a tutto il personale, è considerata illecita e soggetta a sanzioni.

I datori di lavoro devono bilanciare la trasparenza con il principio di minimizzazione dei dati nel trattamento delle informazioni personali dei dipendenti, un equilibrio che il Garante Privacy ha spesso chiarito.

In linea di principio, la parte datoriale può richiamarsi all'esigenza di trasparenza. Tuttavia, il Garante per la protezione dei dati personali ha stabilito che la trasparenza deve sempre essere contemperata con il principio di minimizzazione dei dati, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite. Questo significa che, anche quando si persegue uno scopo di trasparenza, la divulgazione dei dati personali dei dipendenti deve essere strettamente limitata.

Nel caso specifico esaminato dal Garante:

Le informazioni sulle assenze dei dipendenti (come "MAL" per malattia o "104" per permesso assistenza disabili) sono state rese conoscibili a tutto il personale, ben oltre i soggetti legittimati a trattarle.

Il Garante ha ritenuto che la minimizzazione del trattamento non fosse stata rispettata, configurando una "comunicazione illecita" di dati personali. Questo perché i dati personali dei dipendenti non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale, né possono essere trattati da chi non è autorizzato ad accedervi in ragione delle mansioni svolte.

In sintesi, il bilanciamento si realizza assicurando che:

Il datore di lavoro tratti i dati dei propri dipendenti solo se strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi legali o contrattuali.

Qualsiasi prassi di comunicazione, anche se motivata da esigenze di trasparenza interna, non ecceda la necessità oggettiva e non superi i limiti dei soggetti legittimati a conoscere tali informazioni.