Garante privacy: illegittima la divulgazione delle cause di assenza dei dipendenti
Viola le norme in materia di trattamento dei dati personali il datore di lavoro che affigge in azienda i turni di lavoro con l'indicazione dei dipendenti assenti usando sigle rivelatrici delle cause di assenza (Garante Privacy - provvedimento 23 giugno 2025 n. 363)
Garante privacy: illegittima la divulgazione delle cause di assenza dei dipendenti
Viola le norme in materia di trattamento dei dati personali il datore di lavoro che affigge in azienda i turni di lavoro con l'indicazione dei dipendenti assenti usando sigle rivelatrici delle cause di assenza (Garante Privacy - provvedimento 23 giugno 2025 n. 363)
Il Garante della privacy ha emesso un provvedimento sanzionatorio per illecito trattamento di dati personali, da parte del datore di lavoro, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.
In particolare, le informazioni relative ai motivi delle assenze, indicate mediante sigle sintetiche (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “INF” in luogo di infortunio, “SOSP” in luogo di sospensione/sanzione disciplinare, “PS” in luogo di permesso sindacale, “ric.osp.” in luogo di ricovero ospedaliero, “AVIS” in luogo di donazione sangue) venivano rese disponibili a tutti i dipendenti, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.
L'Azienda si è giustificata richiamando una norma di settore secondo la quale "le aziende esercenti devono affiggere i turni di servizio negli uffici, nelle autostazioni, nei depositi e nelle officine in modo che il personale ne possa prendere conoscenza" (art. 10 della legge n. 138 del 1958).
L'Azienda ha precisato che
- provvede ad affiggere nelle bacheche aziendali e sulle e-mail aziendali i turni di servizio in modo che il personale ne possa prendere conoscenza inserendo sigle o acronimi per informare tutti i lavoratori che l’azienda non adotta alcun trattamento di favore nel predisporre la turnazione. Tali turni con l’inserimento di sigle o acronimi vengono affissi in luoghi non accessibili al pubblico e quindi senza alcuna diffusione a terzi non legittimati;
- le sigle o acronimi sono state erroneamente interpretate dall’OO.SS. reclamante come idonee a far conoscere dati personali riferiti ai colleghi di lavoro, in realtà esse sono riferite non alle assenze programmate, bensì a quelle sopravvenute che determinano una rimodulazione del turno di servizio settimanale. Il loro inserimento per tale ragione è stato ritenuto necessario in quanto incide sulla gestione del rapporto di lavoro con gli altri dipendenti chiamati ad effettuare le sostituzioni. L’inserimento delle sigle nei turni di servizio è giustificato altresì dall’esigenza di evitare conflitti all’interno dell’azienda in modo da consentire un corretto andamento del servizio;
- in ottemperanza alle linee guida in materia di trattamento dei dati personali dei lavoratori per finalità di gestione del rapporto di lavoro, tali informazioni vengono fornite solo per dare esecuzione ad obblighi derivanti dal contratto di lavoro.
Al riguardo, il Garante della Privacy ha evidenziato che le sigle sintetiche utilizzate per ciascuna causale d’assenza sono idonee a far conoscere dati personali, anche sensibili, riferiti ai propri dipendenti.
In via generale, il datore di lavoro può trattare i dati personali dei propri dipendenti, anche relativi a categorie particolari di dati (tra cui sono ricompresi i dati relativi alla salute e quelli relativi all’appartenenza sindacale), se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi.
In ogni caso, il titolare del trattamento è tenuto a rispettare principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Considerato che le tabelle recanti i turni di servizio venivano affisse alle bacheche, posizionate presso i depositi aziendali, l'accesso ai dati, benché interdetto all’utenza esterna, risultava libero per tutto il personale dell’impresa; inoltre, le informazioni erano condivise anche con i dipendenti mediante l’invio di una e-mail. Tali circostanze fanno sì che i dati personali sensibili siano resi disponibili e conoscibili a un ampio numero di soggetti non legittimati a conoscerli, individuato nel personale direttamente coinvolto nel servizio, configurandosi così una “comunicazione” illecita di dati personali.
I dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto contrattuale e non possono essere trattati da coloro che, ancorché operino presso l’impresa, non siano autorizzati ad accedere a tali dati, in ragione delle mansioni svolte.
Inoltre, il trattamento dei dati risulta essere effettuato in assenza di un idoneo presupposto di liceità, poichè la norma indicata a supporto della correttezza del proprio agire (art. 10 della legge 138 del 1958) prevede unicamente che “le aziende esercenti devono affiggere i turni di servizio negli uffici, nelle autostazioni, nei depositi e nelle officine in modo che il personale ne possa prendere conoscenza”, senza alcun riferimento in ordine all’indicazione delle possibili cause di assenza da lavoro.
Infine, le modalità di trattamento dei dati violano i principi di minimizzazione, in quanto le informazioni sulle cause delle assenze da lavoro non risultano necessarie a garantire il regolare avvicendamento e la programmazione dei turni di lavoro.
Nel corso del procedimento, il datore di lavoro ha provveduto a modificare le tabelle con i turni di servizio, inserendo unicamente l’assenza di ciascun dipendente.
A fronte della violazione il Garante della Privacy ha irrogato una sanzione amministrativa pecuniaria pari a euro 10.000,00 (diecimila), definibile mediante il pagamento di una somma pari alla metà della sanzione irrogata entro il termine di proposizione del ricorso avverso il provvedimento.
di Ciro Banco
Fonte Normativa
Garante Privacy - provvedimento 23 giugno 2025 n. 363
IQ Notizie
News, aggiornamenti e ultime notizie per le imprese online di InQuery: Edilizia, Industria, Agricoltura, Artigianato, Commercio, Trasporti, Enti Pubblici.
Tutte le novità, comodamente,
senza perderti nulla!
Solo contenuti selezionati, chiari e sempre utili.
ISCRIVITI ALLA NEWSLETTER
