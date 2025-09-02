Un’azienda è stata multata per 50mila euro dal Garante Privacy: violati GDPR e tutele dei lavoratori. Ecco cosa cambia per imprese e dipendenti

Laureato in Giurisprudenza, con esperienza legale, ora redattore web per giornali online. Ha una passione per la scrittura e la tecnologia, con un focus particolare sull'informazione giuridica.

123RF Salute dei lavoratori e tutela dei dati personali, ecco quando l'azienda viene sanzionata se vìola le regole nazionali e del GDPR

Fin quanto può spingersi il diritto di un’azienda a controllare i dipendenti, per tutelare la produttività ed evitare brutte sorprese in termini di profitto? La legge oggi è molto rigorosa nello stabilire i doveri in capo dal datore di lavoro in tema di gestione delle informazioni private del personale, grazie – anche e soprattutto – a norme come quelle contenute nel GDPR, il Regolamento europeo sulla protezione dei dati personali.

Ecco perché non deve stupire la pesante sanzione in denaro, pari a 50mila euro, recentemente inflitta dal Garante Privacy a un’azienda metalmeccanica che – per anni – aveva adottato una discutibile prassi nei confronti dei dipendenti guariti e appena rientrati al lavoro. Vediamo in sintesi il perché della decisione dell’Authority, su una vicenda che ha messo in gioco il diritto alla riservatezza sulla propria salute.

La prassi gestionale del doppio test ai dipendenti rientranti dopo problemi di salute

Come emerso dall’istruttoria avviata dal Garante per la protezione dei dati personali, l’azienda – operante del settore automotive – aveva gestito in modo scorretto le informazioni dei propri dipendenti e, per quanto qui specificamente interessa, quelle sulla loro condizione sanitaria.

Infatti, su segnalazione sindacale, l’Authority ha scoperto che il datore aveva la consuetudine di sottoporre una sorta di doppio test a tutti coloro che ritornavano in ufficio, dopo un’assenza forzata per malattia, infortunio o ricovero. In particolare, la prassi voleva che i dipendenti fossero sottoposti a un colloquio con il proprio responsabile, accompagnato dalla compilazione di un questionario (un modulo denominato Return to Work Interview). La finalità era quella di tutelare il benessere psicofisico dei lavoratori e valutare le eventuali difficoltà di reinserimento del dipendente.

Il documento, redatto e firmato da un diretto responsabile, era poi trasmesso all’ufficio risorse umane che con il responsabile e/o con il medico competente valutava, sulla scorta delle informazioni raccolte nel doppio test, eventuali iniziative a tutela della salute dei lavoratori, ad es. modificando la postazione di lavoro o intervenendo sui rapporti in ufficio e le dinamiche interne.

La mancanza di un’informativa chiara e trasparente e di una base giuridica per il trattamento

Se a prima vista, la prassi in oggetto potrebbe apparire condivisibile almeno nell’obiettivo di garantire un ambiente di lavoro “aderente” alle condizioni di salute (anche mutate) di ogni dipendente, è però vero che – nel corso dell’istruttoria – il Garante ha individuato distinte violazioni del Regolamento GDPR, tra cui la mancanza di un’informativa chiara e trasparente ai lavoratori. Questi ultimi, infatti, non erano stati previamente e dettagliatamente informati sulle finalità del trattamento dei dati personali, riguardanti la loro condizioni sanitaria. Al contempo, non gli era stata garantita alcuna libertà del consenso.

Non solo. Come si dice in gergo, mancava un’idonea base giuridica o condizione di liceità per questa attività di raccolta di informazioni. Infatti, secondo il Garante, con il questionario e il colloquio l’azienda aveva usato e trattato i dati personali senza una ragione legale valida e prevista dal GDPR. Anzi, la prassi gestionale in oggetto violava platealmente gli articoli 6 e 9 del testo normativo.

La violazione del principio di minimizzazione e le altre irregolarità riscontrate

Altre violazioni del fondamentale Regolamento europeo riguardavano il mancato rispetto del principio di minimizzazione dei dati di cui all’art. 5. Infatti, come si legge nel provvedimento del Garante:

i dati raccolti in occasione della compilazione del modulo per il colloquio di rientro al lavoro dopo un periodo di assenza per malattia, infortunio o ricovero sono risultati non pertinenti rispetto all’attività che il datore di lavoro dovrebbe effettuare, nel caso di assenza del lavoratore, anche alla luce di quanto previsto dall’art. 2087 c.c., pure in ragione dell’attribuzione dell’attività di sorveglianza sanitaria al medico competente, in base a quanto disposto dal D. Lgs. n. 81 del 2008.

In proposito, è opportuno ricordare che l’appena citato decreto – all’art. 18 – fissa gli specifici obblighi del datore di lavoro per tutelare integrità fisica e personalità morale dei lavoratori, ai sensi dell’art. 2087 Codice Civile.

L’Autorità ha anche accertato una sproporzionata conservazione di dati personali dei lavoratori, perché fino a dieci anni, e un loro inutile trattamento rispetto ai fini aziendali, in violazione dell’art. 113 del Codice Privacy che, a sua volta, richiama – oltre che l’art. 10 del d. lgs. 276/2003 sulla tutela contro trattamenti discriminatori in ufficio – l’art. 8 dello Statuto dei lavoratori relativo al divieto, gravante sul datore, di compiere indagini su fatti irrilevanti ai fini della valutazione dell’attitudine professionale.

In estrema sintesi, l’azienda si era quindi spinta troppo oltre i suoi poteri, andando a considerare informazioni private senza un fondamento giuridico vero e proprio, che rendesse legale questa prassi post malattia, infortunio (che vanno tenuti ben distinti tra loro) o ricovero.

La multa e l’ordine del Garante

Dall’esito del procedimento, con il provvedimento 390/2025 è derivata la sanzione pecuniaria pari a 50mila euro ma, soprattutto, il doppio ordine all’azienda di non trattare i dati personali nelle modalità sopra indicate, e di cancellare quelli già raccolti e conservati.

La multa è stata particolarmente pesante perché il Garante ha valutato tutte le circostanze concrete e, in particolare, la durata delle violazioni, le centinaia di dipendenti coinvolti e il fatto che il trattamento abbia riguardato anche dati sulla salute. In particolare, il Garante ha evidenziato che il questionario raccoglieva dati sanitari, in violazione delle regole che riservano questi trattamenti al solo medico competente.

Che cosa cambia

Il rispetto della riservatezza è un tema ricorrente nel lavoro, basti pensare ad es. al caso dello smart working. Questa vicenda insegna che rischia seriamente una sanzione in denaro ogni azienda che gestisce in modo scorretto le informazioni dei dipendenti, comprese quelle sulla salute. I controlli aziendali sui dipendenti non possono mai trasformarsi in raccolte indiscriminate di dati privati e, con il provvedimento in oggetto, il Garante ha ribadito che, per i lavoratori, le tutele di legge di certo non mancano.

Per i datori di lavoro, invece, la vicenda è un avvertimento: ogni verifica deve essere svolta nel rispetto di obblighi e divieti, affidandosi alle figure competenti (come il medico aziendale) e limitando la raccolta dei dati a ciò che è strettamente necessario. Questo caso sottolinea l’importanza, per le aziende, di coniugare le buone prassi organizzative con il rispetto della regole in materia di privacy.

Concludendo, anche le iniziative finalizzate alla tutela del benessere in ufficio devono pur sempre essere progettate nel rispetto del principio di liceità e della normativa sul trattamento dei dati. Ecco perché, quando entrano in gioco dati sanitari, occorre che – in ogni caso – il trattamento sia proporzionato agli scopi, strettamente necessario, autorizzato dalla legge e condotto da soggetti legittimati.