Garante Privacy: sanzionata la motivazione delle assenze nella bacheca aziendale
Con il provvedimento 363 del 23 giugno 2025 il Garante per la protezione dei dati personali torna a ribadire l'importanza, per i datori di lavoro pubblici e privati, di garantire un uso proporzionato dei dati dei dipendenti e di limitarsi all'utilizzo solo delle informazioni strettamente necessarie alla gestione del rapporto di lavoro.
Ecco tutti i dettagli del caso concluso con un sanzione di 10mila euro.
Il caso
Il caso trae origine da un reclamo presentato da un’organizzazione sindacale, in rappresentanza di alcuni lavoratori di una società di trasporto pubblico locale. L’oggetto della contestazione riguardava la gestione dei turni di servizio: nelle bacheche aziendali e tramite e-mail interne venivano diffusi prospetti contenenti le assenze dei dipendenti, e cui motivazioni venivano indicate con abbreviazioni. Le sigle (“MAL” per malattia, “INF” per infortunio, “104” per permessi legge n. 104/1992, “SOSP” per sanzioni disciplinari, ecc.) consentivano di risalire a informazioni personali e, in alcuni casi, a dati sensibili legati alla salute o all’appartenenza sindacale.
Secondo i ricorrenti, questa modalità costituiva un trattamento illecito dei dati personali poiché rendeva conoscibili a tutti i dipendenti informazioni non pertinenti al normale svolgimento del servizio.
Nella tabella le abbreviazioni utilizzate, molto chiare nel significato.
| Sigla | Significato |
|---|---|
| MAL | Malattia |
| 104 | Permesso legge 104/1992 |
| INF | Infortunio |
| SOSP | Sospensione disciplinare |
| PS | Permesso sindacale |
La decisione del Garante
Dopo la richiesta di chiarimenti, la società aveva spiegato di essersi attenuta a quanto previsto dall’art. 10 della legge n. 138/1958, che obbliga ad affiggere i turni di servizio, e che l’uso delle sigle era giustificato per esigenze organizzative.
In seguito, l’azienda ha comunque eliminato le abbreviazioni, sostituendole con un generico indicatore di assenza.
L’Autorità ha però rilevato che i prospetti resi disponibili a tutto il personale costituivano una comunicazione non legittima di dati personali.
È stato ribadito che, ai sensi del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018, i datori di lavoro possono trattare dati particolari dei dipendenti solo se strettamente necessari e con modalità che rispettino i principi di liceità, correttezza, trasparenza e minimizzazione. Le sigle usate, seppur abbreviate, permettevano di conoscere dettagli sensibili sulle condizioni di salute o sulla vita sindacale dei lavoratori, senza che vi fosse un idoneo presupposto normativo.
Motivazione e sanzioni
Con il provvedimento il Garante ha dunque dichiarato illecito il trattamento dei dati, ritenendo violati gli artt. 5, par. 1, lett. c) e 9, par. 2, del Regolamento. Considerato che la società aveva successivamente modificato la prassi, non sono state imposte misure correttive ulteriori, ma è stata disposta una sanzione amministrativa pecuniaria di 10.000 euro. La decisione sarà pubblicata sul sito dell’Autorità, come previsto dall’art. 166 del Codice, anche con finalità dissuasive.
Il caso sottolinea l’importanza, per i datori di lavoro pubblici e privati, di garantire un uso proporzionato dei dati dei dipendenti e di limitarsi a informazioni strettamente necessarie alla gestione del rapporto di lavoro, senza eccedere nella diffusione di elementi che possano rivelare aspetti sensibili della vita privata dei lavoratori.
