Il provvedimento emanato dal Garante per la protezione dei dati personali il 9 ottobre 2025, pubblicato nel Registro dei provvedimenti n. 582/2025, rappresenta un’importante occasione per ribadire principi fondamentali in materia di trattamento dei dati personali nel contesto lavorativo, con particolare riferimento alle amministrazioni pubbliche.
L’intervento trae origine da un reclamo presentato da un dipendente della Procura della Repubblica presso il tribunale di Milano, in relazione alla diffusione impropria di informazioni personali all’interno di una comunicazione e mail inviata a un gruppo di colleghi.
Il provvedimento si inserisce nel quadro normativo delineato dal GDPR, in particolare dagli articoli 5 e 6, che fissano i principi di liceità, correttezza, trasparenza e minimizzazione dei dati, nonché dalle specifiche previste dall’articolo 2 ter del Codice privacy. Nel contesto del rapporto di lavoro, i soggetti pubblici possono infatti trattare dati personali dei dipendenti solo quando ciò risulti necessario per adempiere a obblighi di legge o per l’esecuzione di compiti di interesse pubblico. Tuttavia, è fondamentale che tali trattamenti siano eseguiti limitando l’accessibilità delle informazioni ai soli incaricati effettivamente autorizzati.
La finalità principale del provvedimento è dunque quella di chiarire che l’invio di comunicazioni cumulative contenenti dati personali di più dipendenti, anche se effettuato all’interno della medesima struttura organizzativa, può costituire una forma di comunicazione indebita in contrasto con i principi di minimizzazione e proporzionalità.
In questo caso, l’amministrazione aveva allegato a un messaggio di sollecito un file contenente l’elenco dei nominativi dei dipendenti che non avevano completato i test formativi previsti sulla piattaforma Syllabus: tale condivisione interna non è stata ritenuta conforme al quadro normativo in quanto ha reso conoscibili informazioni personali a soggetti che non erano legittimati a riceverle.
Il provvedimento ribadisce quindi l’obbligo per i datori di lavoro di adottare misure organizzative e tecniche idonee a prevenire la divulgazione non necessaria di dati personali e di utilizzare forme di comunicazione individualizzate ogni volta che vengano trattate informazioni afferenti alla posizione lavorativa del singolo dipendente. Il Garante richiama inoltre le Linee guida sul trattamento dei dati dei lavoratori, che sottolineano l’importanza di evitare ogni riferimento superfluo a situazioni personali nel contesto delle comunicazioni interne.
Il caso riveste particolare rilevanza per tutte le amministrazioni pubbliche e, più in generale, per tutti i titolari del trattamento che operano in contesti organizzativi complessi.
La vicenda evidenzia come anche situazioni che possono apparire di natura meramente amministrativa o operativa - come il monitoraggio dell’avanzamento di percorsi formativi - richiedano un’attenta valutazione delle modalità con cui le informazioni vengono trattate e comunicate.
Il provvedimento sottolinea che la diffusione ingiustificata di dati personali all’interno dell’ambiente di lavoro può costituire una violazione, anche quando non emergano elementi di dolo o quando l’amministrazione abbia agito con finalità di efficienza organizzativa. La logica preventiva del GDPR impone infatti di considerare il rischio per i diritti e le libertà degli interessati indipendentemente dall’esistenza di un danno concreto.
Per questo motivo, il Garante richiama i titolari del trattamento alla necessità di implementare procedure interne che garantiscano la protezione dei dati sin dalla progettazione e per impostazione predefinita (principio di privacy by design e privacy by default). L’adozione di prassi di comunicazione individualizzata, la formazione periodica del personale amministrativo e la verifica costante dei flussi informativi interni rappresentano elementi indispensabili per prevenire violazioni analoghe.
Il provvedimento del Garante privacy n. 582 del 9 ottobre 2025 nasce da un reclamo presentato, ai sensi dell’articolo 77 del Regolamento (UE) 2016/679 (GDPR,) da un funzionario della Procura della Repubblica presso il tribunale di Milano che aveva segnalato una presunta violazione della normativa sulla protezione dei dati personali derivante dalla gestione di una comunicazione interna relativa all’adempimento degli obblighi formativi sulla piattaforma Syllabus, utilizzata dal personale per la fruizione dei percorsi di aggiornamento professionale. La vicenda è stata ritenuta dal Garante meritevole di approfondimento, poiché rappresentativa di una tipologia di trattamento molto diffusa nel contesto lavorativo pubblico e, al tempo stesso, particolarmente delicata in termini di tutela della riservatezza.
I fatti contestati
Il cuore del reclamo riguarda l’invio di un’e mail cumulativa indirizzata a un gruppo di ventidue dipendenti. L’e mail, trasmessa dalla segreteria della dirigenza della Procura, aveva lo scopo dichiarato di sollecitare i destinatari a completare l’“assessment” previsto nei percorsi formativi offerti dalla piattaforma Syllabus, rispetto ai quali era già decorso il termine stabilito dall’amministrazione.
All’interno del messaggio, formulato come comunicazione di servizio, era allegato un file in formato xlsx contenente una tabella riepilogativa con:
Secondo quanto ricostruito nel provvedimento questa modalità di trasmissione ha comportato la circolazione, tra dipendenti appartenenti alla medesima struttura lavorativa ma privi di specifiche funzioni autorizzative, di informazioni personali che riflettono lo stato di avanzamento degli obblighi formativi individuali.
Benché il contenuto dell’allegato non riguardasse valutazioni qualitative delle prestazioni lavorative né giudizi di merito, esso rappresentava comunque un insieme di dati personali riferiti a ciascun lavoratore e collegati all’esecuzione di un adempimento previsto dall’organizzazione interna.
La scelta di utilizzare un invio cumulativo anziché comunicazioni individualizzate ha consentito a tutti i destinatari di venire a conoscenza dei test mancanti da parte dei colleghi, generando una potenziale esposizione ingiustificata di informazioni relative alla posizione lavorativa.
Il reclamante ha contestato principalmente due profili di criticità:
1. Possibile violazione del principio di riservatezza
Secondo il reclamante, l’invio dell’e mail cumulativa avrebbe illegittimamente reso conoscibili ai colleghi informazioni personali che riguardavano esclusivamente la situazione formativa del singolo dipendente.
Il principio di riservatezza impone che i dati personali siano accessibili solo ai soggetti autorizzati e responsabili della loro gestione, secondo quanto previsto dagli articoli 5, 25, 29 e 32 del GDPR. Nel caso in esame, invece, l’allegato permetteva a tutti i destinatari di conoscere quali colleghi avessero mancato l’obbligo formativo o non avessero completato i test richiesti.
Tale diffusione interna non era giustificata da alcuna necessità organizzativa che richiedesse la conoscenza, da parte dei dipendenti, delle posizioni individuali dei colleghi. La comunicazione avrebbe potuto raggiungere la stessa finalità mediante l’invio di messaggi individuali, limitando così la visibilità dei dati personali.
2. Possibile violazione del principio di minimizzazione dei dati
Il secondo profilo critico evidenziato riguarda la violazione del principio di minimizzazione, che impone di trattare solo i dati strettamente necessari per le finalità perseguite. Nel caso specifico, il reclamante ritiene che l’amministrazione abbia diffuso più informazioni di quelle realmente indispensabili.
L’invio cumulativo:
Il reclamante ha pertanto evidenziato che la scelta dell’amministrazione di favorire la rapidità operativa non poteva prevalere sul rispetto dei principi fondamentali del GDPR, specie in un contesto - quello del rapporto di lavoro - in cui la posizione gerarchica può incidere sulla percezione della tutela dei diritti.
Diffusione non necessaria di informazioni personali sugli obblighi formativi
Un ulteriore elemento di criticità sottolineato nel reclamo riguarda la natura stessa delle informazioni contenute nell’allegato: sebbene non si tratti infatti di dati appartenenti a categorie particolari ai sensi dell’articolo 9 GDPR, essi rappresentano comunque informazioni attinenti a obblighi lavorativi e possono riflettere elementi della condotta professionale del dipendente.
La diffusione dell’elenco dei test mancanti tra colleghi può infatti generare:
L’attività istruttoria condotta dal Garante per la protezione dei dati personali ha avuto un ruolo centrale nel chiarire i fatti, verificare le circostanze rappresentate dal reclamante e valutare le giustificazioni fornite dal Ministero della Giustizia. Il procedimento si è sviluppato attraverso richieste di documentazione, analisi delle comunicazioni intercorse e approfondimenti relativi alle modalità del trattamento contestato. Questa fase è risultata determinante per comprendere se la trasmissione dell’e mail cumulativa e dell’allegato contenente i test formativi mancanti fosse conforme ai principi del Regolamento (UE) 2016/679 (GDPR) e del Codice privacy.
Le informazioni fornite dal Ministero della giustizia
Nel corso dell’istruttoria, il Ministero della giustizia ha fornito una serie di chiarimenti utili per ricostruire il contesto amministrativo e operativo in cui è avvenuta la comunicazione oggetto del reclamo.
Il Ministero ha sostenuto che l’invio della comunicazione cumulativa fosse motivato da ragioni di urgenza. La scadenza relativa all’effettuazione o al completamento degli assessment formativi era già trascorsa, e l’amministrazione aveva ritenuto necessario sollecitare rapidamente i dipendenti al fine di garantire il rispetto del programma formativo obbligatorio.
Secondo quanto dichiarato, l’ufficio aveva tentato dapprima contatti individuali con i dipendenti interessati, sia tramite comunicazioni singole sia attraverso contatti telefonici. Solo in seguito al mancato riscontro da parte di alcuni lavoratori, e tenuto conto del ruolo operativo della segreteria nella gestione del flusso di attività amministrative, sarebbe stata adottata la soluzione dell’invio cumulativo.
Questa scelta, secondo il Ministero, non era finalizzata a diffondere impropriamente informazioni personali, bensì a raggiungere in modo tempestivo tutti gli interessati, agevolando la conclusione dei test previsti dalla piattaforma Syllabus.
Il Ministero ha inoltre richiamato specifiche difficoltà logistiche connesse alla gestione dell’organico e del carico di lavoro della Procura della Repubblica presso il Tribunale di Milano.
La struttura risultava in quel periodo caratterizzata da:
Tali fattori, secondo l’amministrazione, avrebbero giustificato il ricorso a modalità comunicative più rapide ed efficienti, anche se non perfettamente allineate con il principio di minimizzazione dei dati.
Inoltre, il Ministero ha evidenziato come l’intento non fosse quello di segnalare inadempienze, ma di favorire un confronto collaborativo tra colleghi, evidenziando che alcuni dipendenti - tra cui il reclamante - ritenevano erroneamente di aver già portato a termine i percorsi formativi.
A seguito delle contestazioni sollevate dal dipendente e delle valutazioni effettuate internamente, l’amministrazione ha dichiarato di aver implementato misure correttive per evitare il ripetersi di situazioni analoghe.
Il Ministero ha indicato che:
Queste misure hanno evidenziato, da parte del Ministero, una collaborazione attiva con l’Autorità e una disponibilità a correggere le criticità organizzative rilevate.
Sulla base delle informazioni acquisite e delle verifiche effettuate, il Garante ha formulato una valutazione preliminare che ha portato alla notifica dell’avvio del procedimento previsto dall’articolo 166 del Codice privacy.
Notifica di avvio del procedimento
Con apposita comunicazione, l’Autorità ha informato il Ministero della Giustizia dell’apertura del procedimento finalizzato a verificare l’eventuale violazione delle disposizioni del GDPR e del Codice privacy.
Il Ministero è stato invitato a produrre osservazioni scritte o documentazione aggiuntiva, così come previsto dagli articoli 166 del Codice e 18 della legge n. 689/1981.
La notifica indicava chiaramente che il trattamento dei dati effettuato mediante l’invio dell’e mail cumulativa poteva risultare non conforme ai principi fondamentali del GDPR.
Ipotesi di violazione degli articoli 5 e 6 GDPR e dell’articolo 2-ter del Codice privacy
Nella comunicazione di avvio, il Garante ha ipotizzato una violazione:
Il trattamento contestato, infatti, aveva comportato la comunicazione dei dati personali dei dipendenti a soggetti non autorizzati in base alle funzioni svolte, determinando una conoscibilità non necessaria e non proporzionata delle informazioni.
La valutazione preliminare dell’Autorità ha quindi evidenziato una possibile violazione delle norme sulla protezione dei dati personali, pur tenendo conto delle giustificazioni e delle difficoltà organizzative esposte dal Ministero.
Nel contesto lavorativo, il trattamento dei dati personali deve essere valutato con particolare attenzione, poiché avviene all’interno di un rapporto caratterizzato da asimmetria di potere e da esigenze organizzative spesso complesse. Il Garante ha richiamato, innanzitutto, l’articolo 6 del GDPR, che individua le condizioni di liceità del trattamento e stabilisce che esso è ammesso quando sussiste una specifica necessità giuridica o istituzionale. Per i datori di lavoro pubblici, la base giuridica rilevante è rappresentata principalmente:
L’articolo 88 del GDPR permette agli Stati membri di introdurre norme specifiche per il trattamento dei dati dei lavoratori, con l’obiettivo di garantire la tutela dei diritti degli interessati e la proporzionalità dei trattamenti rispetto alle finalità perseguite.
Sul piano nazionale, l’articolo 2-ter del Codice privacy stabilisce che la comunicazione di dati personali da parte delle pubbliche amministrazioni è lecita soltanto quando prevista da una norma di legge o di regolamento. Tale previsione richiede che ogni comunicazione di dati personali sia non solo giustificata da esigenze amministrative, ma anche formalmente prevista da un obbligo normativo.
Nel caso esaminato, il Garante ha evidenziato che nessuna norma prevedeva la necessità o la legittimità dell’invio cumulativo dei dati relativi ai test formativi incompleti. La comunicazione non era quindi consentita dall’articolo 2-ter del Codice privacy, poiché non sussisteva alcuna disposizione normativa che ne autorizzasse la diffusione a un gruppo di colleghi privi di poteri autorizzativi.
Distinzione tra comunicazione lecita e diffusione non necessaria
Una parte significativa dell’analisi giuridica riguarda la distinzione fondamentale tra comunicazione lecita e diffusione non necessaria dei dati personali. Il Garante ha chiarito che una comunicazione è lecita quando i dati vengono trasmessi esclusivamente a soggetti autorizzati e che hanno un ruolo funzionale nella gestione del trattamento. Viceversa, si configura una diffusione non necessaria quando i dati vengono resi conoscibili a soggetti che non hanno compiti collegati alla finalità del trattamento.
Nel caso oggetto del provvedimento, i ventidue dipendenti destinatari dell’e mail cumulativa non svolgevano alcuna funzione organizzativa o di coordinamento e non avevano competenze legate alla gestione dei percorsi formativi dei colleghi. La loro conoscenza dei test mancanti non era necessaria per il raggiungimento della finalità perseguita dall’amministrazione.
La semplice circostanza che tutti i destinatari appartenessero alla stessa struttura lavorativa non è sufficiente a legittimare la condivisione incrociata di informazioni personali. Il GDPR, infatti, impone sempre un’analisi di proporzionalità e necessità basata su criteri oggettivi, non su collegamenti organizzativi generici.
Il principio di minimizzazione, stabilito dall’articolo 5, paragrafo 1, lettera c), GDPR, impone che i dati personali trattati siano limitati a quanto necessario rispetto alle finalità perseguite. L’invio cumulativo dei dati relativi ai test mancanti non rappresentava la soluzione meno invasiva e più proporzionata. Come lo stesso Ministero ha riconosciuto durante l’istruttoria, sarebbe stato possibile raggiungere l’obiettivo della comunicazione attraverso l’invio di e mail individuali, garantendo così la tutela della riservatezza di ciascun lavoratore.
Il ricorso alla comunicazione cumulativa, seppur motivato da ragioni di urgenza e di efficienza organizzativa, non può prevalere sul rispetto dei principi fondamentali del GDPR. La normativa richiede che, anche nei casi in cui siano presenti vincoli temporali o difficoltà operative, il titolare del trattamento selezioni la modalità che comporti il minor rischio possibile per i diritti e le libertà degli interessati.
Accessibilità ingiustificata ai dati tra colleghi
Il Garante ha inoltre rilevato che la diffusione dei dati tra colleghi, attraverso l’allegazione del file contenente informazioni personali, ha determinato un accesso ingiustificato da parte di soggetti non autorizzati. Gli articoli 5, paragrafo 1, lettera a), 29 e 32 del GDPR stabiliscono che i dati personali devono essere trattati in modo corretto, sicuro e limitato ai soli incaricati o responsabili che ne hanno necessità.
Nel caso in esame, i colleghi destinatari dell’e mail non avevano motivo di conoscere il livello di avanzamento degli obblighi formativi degli altri dipendenti. La possibilità di accedere a tali informazioni avrebbe potuto:
Per questo motivo, il Garante ha ritenuto che la pubblicazione interna di tali dati costituisse una violazione del principio di correttezza del trattamento, poiché rendeva conoscibili informazioni che riguardavano esclusivamente la sfera professionale individuale di ciascun lavoratore.
Nel proprio ragionamento giuridico, il Garante ha richiamato le “Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, adottate il 14 giugno 2007. Sebbene emanate in un contesto pre-GDPR, esse mantengono un valore interpretativo significativo, poiché anticipano principi oggi pienamente integrati nel Regolamento europeo.
Le Linee guida stabiliscono che il datore di lavoro deve adottare specifiche cautele nella gestione interna delle informazioni riferite ai dipendenti, evitando la circolazione superflua di dati che potrebbero esporre i lavoratori a situazioni di vulnerabilità o giudizio.
In particolare, le Linee guida raccomandano:
Questi principi sono perfettamente coerenti con il quadro del GDPR e rafforzano l’idea che il datore di lavoro pubblico debba adottare misure organizzative e tecniche orientate alla tutela della riservatezza dei dipendenti.
Le conclusioni formulate dal Garante privacy rappresentano la sintesi dell’intera attività istruttoria e dell’analisi giuridica condotta sull’operato del Ministero della Giustizia. L’Autorità ha valutato non solo la conformità formale del trattamento alla normativa vigente, ma anche il contesto organizzativo in cui esso è avvenuto, le finalità perseguite e i comportamenti adottati dall’amministrazione successivamente al reclamo. L’esito finale conferma che la comunicazione cumulativa e la diffusione dei dati personali dei dipendenti hanno integrato una violazione dei principi fondamentali del GDPR e del Codice privacy, pur configurandosi come una violazione di gravità contenuta.
Il trattamento ritenuto illecito
Il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dal Ministero della Giustizia, individuando puntualmente le disposizioni normative violate. In particolare, sono stati richiamati:
L’Autorità ha evidenziato che non esiste alcuna norma che autorizzi la trasmissione ai colleghi dell’elenco dei dipendenti in ritardo nella compilazione dei test formativi. Inoltre, la finalità della comunicazione non richiedeva la diffusione dei dati in forma collettiva: sarebbe stato pienamente sufficiente inviare comunicazioni individualizzate. Di conseguenza, l’invio dell’elenco cumulativo ha determinato un trattamento eccedente e non necessario, in violazione del principio di minimizzazione e dell’obbligo di correttezza.
L’Autorità ha tuttavia ritenuto che la violazione, pur integrando una condotta illecita, dovesse essere qualificata come violazione minore. Tale valutazione tiene conto dei criteri previsti dall’articolo 83, paragrafo 2, GDPR e dal considerando 148, relativi alla proporzionalità, alla natura del trattamento e all’atteggiamento del titolare.
Contestualizzazione organizzativa
Il Ministero operava infatti in condizioni organizzative complesse, caratterizzate da carenza di personale, carico di lavoro elevato e necessità di rispettare scadenze stringenti relative alla formazione obbligatoria del personale. Questa situazione, pur non giustificando la violazione, rappresenta un elemento attenuante che contribuisce a ridimensionare la gravità della condotta.
Assenza di giudizi di disvalore
Il contenuto dell’e mail cumulativa non includeva giudizi valutativi, né elementi che potessero ledere la dignità professionale dei dipendenti. L’informazione contenuta nell’allegato riguardava esclusivamente lo stato di completamento dei test formativi e non comportava valutazioni sulle competenze o sulla qualità dell’operato dei lavoratori.
Collaborazione del Ministero e misure correttive adottate
Il Ministero ha collaborato tempestivamente con l’Autorità e ha adottato misure correttive prima e durante l’istruttoria. Tra queste:
Questi elementi hanno contribuito alla qualificazione della violazione come non grave, pur confermandone l’illiceità.
A conclusione dell’istruttoria, il Garante ha adottato un provvedimento formale che definisce le misure conseguenti alla violazione accertata. Le decisioni dell’Autorità si sono basate su criteri di proporzionalità e adeguatezza, tenendo conto della natura dell’illecito e delle circostanze attenuanti.
La misura applicata dal Garante è un ammonimento, previsto dall’articolo 58, paragrafo 2, lettera b), GDPR. L’ammonimento costituisce una misura correttiva non sanzionatoria e viene utilizzato quando una violazione, pur sussistendo, non richiede l’applicazione di una sanzione amministrativa pecuniaria.
Nel provvedimento, l’Autorità ha ammonito il Ministero della Giustizia per aver violato gli articoli 5 e 6 GDPR e l’articolo 2-ter del Codice privacy, chiarendo contestualmente l’obbligo di adottare modalità di comunicazione conformi ai principi del GDPR per qualsiasi trattamento futuro.
L’ammonimento rappresenta quindi un richiamo ufficiale, volto a sensibilizzare l’amministrazione sulla necessità di migliorare i processi interni relativi alla gestione delle comunicazioni contenenti dati personali dei dipendenti.
Pubblicazione sul sito istituzionale
Il Garante ha disposto la pubblicazione integrale del provvedimento sul proprio sito istituzionale, in attuazione dell’articolo 154 bis, comma 3, del Codice privacy. Tale disposizione consente di:
La pubblicazione rende inoltre il provvedimento un utile strumento interpretativo per tutti gli operatori del settore, offrendo indicazioni applicative sulle modalità corrette di gestione dei dati dei dipendenti.
|
Oggetto del provvedimento |
Comunicazione cumulativa contenente nominativi dei dipendenti della Procura di Milano e test formativi mancanti sulla piattaforma Syllabus. |
|
Norme violate |
Art. 5, par. 1, lett. a) e c) GDPR (liceità, correttezza, minimizzazione); Art. 6 GDPR (base giuridica); Art. 2-ter Codice privacy (comunicazione non prevista da norma). |
|
Condotta contestata |
Invio di un’e mail cumulativa con allegato contenente dati personali condivisi tra colleghi non autorizzati. |
|
Giustificazioni del Ministero |
Urgenza, tentativi di contatto individuali, difficoltà organizzative e carenza di personale, intento di favorire cooperazione tra dipendenti. |
|
Valutazioni del Garante |
Comunicazione non necessaria per le finalità perseguite; accessibilità ingiustificata ai dati; violazione dei principi di minimizzazione e correttezza; mancata base giuridica. |
|
Elementi attenuanti |
Assenza di giudizi di disvalore; contesto organizzativo complesso; collaborazione del Ministero; adozione di misure correttive interne (circolare, sensibilizzazione del personale). |
|
Gravità della violazione |
Classificata come “violazione minore” ai sensi dell’art. 83 GDPR. |
|
Misura adottata dal Garante |
Ammonimento al Ministero della Giustizia ex art. 58, par. 2, lett. b) GDPR. |
|
Pubblicazione del provvedimento |
Disposta ai sensi dell’art. 154-bis, comma 3, Codice privacy. |
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".