È illegittimo pubblicare i motivi delle assenze dei dipendenti. A stabilirlo è il Garante per la protezione dei dati personali con provvedimento del 23 giugno 2025 (registro dei provvedimenti n. 363/2025), sanzionando una società che aveva reso note, tramite bacheche e e-mail interne, sigle e acronimi che indicavano cause di assenza come malattia, infortunio o permessi sindacali.
Con reclamo, il sindacato, su mandato di alcuni dipendenti, segnalava un illecito trattamento di dati personali, da parte della società datrice di lavoro, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.
Più nel dettaglio, il reclamante lamentava che la Società aveva pubblicato i turni di servizio accompagnati da sigle che identificavano le cause delle assenze: ad esempio “MAL” per malattia, “104” per permesso ex legge 104/1992, “INF” per infortunio, “PS” per permesso sindacale.
Queste informazioni venivano rese conoscibili non solo ai responsabili della gestione del personale, ma a tutto il personale, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.
Interpellata dal Garante privacy con richiesta di informazioni in data 16 febbraio 2024, la Società ha risposto con nota del 15 marzo 2024, fornendo diverse argomentazioni a difesa della propria condotta.
In primo luogo, ha richiamato l’art. 10 della legge n. 138/1958, che prevede l’obbligo di affissione dei turni di servizio in modo che il personale ne possa prendere conoscenza. Secondo la società, la pubblicazione dei turni, con l’uso di sigle e acronimi, sarebbe stato funzionale a garantire trasparenza e a mostrare che non vi erano trattamenti di favore nella turnazione.
La Società ha inoltre sottolineato che:
Pur ritenendo corretto il proprio operato, la società ha comunicato di avere modificato la prassi: le tabelle dei turni non riportavano più le sigle specifiche delle cause di assenza, ma unicamente la lettera “A” per indicare genericamente l’assenza del lavoratore. Tale scelta è stata compiuta, come dichiarato dalla società, “al solo fine di evitare contenziosi”.
L’Autorità ha evidenziato che la Società, in qualità di titolare del trattamento, ha gestito in modo illecito dati personali e particolari dei propri dipendenti, diffondendo informazioni attraverso l’affissione di turni nelle bacheche aziendali e l’invio degli stessi tramite e-mail.
Infatti, anche l’uso di sigle o abbreviazioni per indicare le diverse tipologie di assenza si è rivelato idoneo a far conoscere informazioni sensibili, riguardanti lo stato di salute o l’appartenenza sindacale dei lavoratori. con conseguente violazione della normativa in materia di protezione dei dati
In linea generale, la normativa sulla protezione dei dati personali ammette che il datore di lavoro tratti i dati dei propri dipendenti, compresi quelli appartenenti alle categorie particolari – come i dati sulla salute o sull’appartenenza sindacale – ma solo se ciò risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4, e 88 del Regolamento 2016/679).
In ogni caso, il datore di lavoro, in qualità di titolare del trattamento, deve sempre attenersi ai principi fondamentali fissati dal Regolamento, tra cui la liceità, correttezza e trasparenza e soprattutto la minimizzazione, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite (art. 5, par. 1, lett. a) e c).
Nel caso oggetto del provvedimento, è emerso dalle dichiarazioni rese dalla Società che i turni di servizio, con l’indicazione delle cause di assenza, venivano affissi nelle bacheche collocate nei depositi aziendali e, in aggiunta, trasmessi via e-mail a tutto il personale. Anche se l’accesso a tali depositi era formalmente interdetto al pubblico, le informazioni erano comunque liberamente conoscibili da tutti i dipendenti, ben oltre i soggetti legittimati a trattarle.
In questo modo i dati personali, compresi quelli di natura sensibile, sono stati messi a disposizione di una platea più ampia del necessario, configurando una vera e propria “comunicazione” illecita di dati personali ai sensi dell’art. 2, comma 4, del Codice.
Contrariamente a quanto sostenuto dalla Società, il Garante privacy ha precisato che i dati personali dei dipendenti non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando all’interno dell’impresa, non è autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte.
In base alle definizioni di “interessato” e di “terzo” contenute nell’art. 4 del Regolamento, i lavoratori addetti al servizio di trasporto non sono legittimati a conoscere i dettagli sulle assenze dei colleghi, poiché non hanno alcun titolo per trattare tali dati. Tale interpretazione è in linea con precedenti provvedimenti del Garante e con le linee guida in materia di gestione dei dati dei lavoratori.
Inoltre, la norma invocata dalla Società a propria difesa (art. 10 della legge n. 138/1958) si limita a stabilire l’obbligo di affiggere i turni di servizio nei luoghi di lavoro, senza in alcun modo autorizzare l’indicazione delle cause delle assenze. La condotta, pertanto, è stata posta in essere in assenza di un valido presupposto di liceità.
Considerati la natura e la gravità della violazione, ma anche la collaborazione della Società e l’assenza di precedenti, il Garante ha applicato una sanzione amministrativa pecuniaria pari a 10.000 euro. È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante, data la rilevanza dei dati coinvolti.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".