Questionario al rientro da assenze per malattia: è trattamento illecito dei dati

---

Condividi l'articolo:

---

Il Garante Privacy ha sanzionato con 50.000 euro un’azienda del settore automotive per aver trattato illecitamente i dati dei dipendenti, tramite un questionario post-assenza per malattia, infortunio o ricovero. Lo rende noto la stessa Autorità con la newsletter del 1° agosto 2025.

Il provvedimento, risalente al 10 luglio 2025, è scattato a seguito di una segnalazione sindacale, che aveva posto all’attenzione del Garante una pratica diffusa in azienda.

Colloquio di rientro post malattia e modulo RTWI

Il provvedimento prende avvio dalla segnalazione dell'organizzazione sindacale USB Lavoro Privato Puglia, che lamenta l’utilizzo di un modulo per il colloquio di rientro dal lavoro (Return to Work Interview o RTWI) da parte dell’azienda in seguito ad assenze per malattia, infortunio o ricovero. Tale pratica, secondo il segnalante, comporta un trattamento di dati personali sensibili in modo non conforme alla normativa vigente.

L’azienda, a seguito della segnalazione sindacale e delle richieste del Garante Privacy, ha chiarito che il colloquio di rientro al lavoro con compilazione del modulo RTWI (“Return to Work Interview”) è una prassi gestionale interna connessa alle politiche di salute e sicurezza sul lavoro. L’obiettivo dichiarato è intercettare situazioni di disagio e facilitare il reinserimento lavorativo, anche con misure come la modifica della postazione o il supporto relazionale.

Il modulo è compilato manualmente dal responsabile del lavoratore e successivamente trasmesso all’Ufficio Risorse Umane, che valuta eventuali interventi congiuntamente al medico competente.

La Società ha inoltre evidenziato l’esistenza di tre versioni del modulo RTWI: la prima, in uso fino a maggio 2020; il modulo snellito di maggio 2020 e la versione semplificata introdotta a settembre 2021, in uso. In tutte le versioni dei moduli, è sempre evidenziato che le informazioni raccolte sono soggette a riservatezza da parte delle funzioni aziendali interessate.

L’ultima versione, secondo l’azienda, è accompagnata da un’intestazione informativa, che precisa l’assenza di dati sanitari nel modulo, la facoltatività della compilazione e il richiamo alle informative generali presenti sui portali aziendali, nonché sul portale buste paga.

L’informativa privacy è stata aggiornata nel 2020 e nel 2021 per chiarire finalità e tipologia dei dati trattati, rimandando ai portali aziendali per ulteriori dettagli.

Accertamenti e illeciti riscontrati sui questionari 

Il Garante per la protezione dei dati personali ha condotto un’istruttoria approfondita, durante la quale la Società ha prodotto riscontri documentali, scritti difensivi, richieste di proroga, istanze di archiviazione e ha partecipato a un’audizione.

Il Garante ha rilevato violazioni multiple della disciplina privacy, tra cui:

Violazione dell’obbligo di informativa

La compilazione del modulo RTWI da parte del responsabile, in occasione del rientro al lavoro del dipendente dopo un’assenza, è avvenuta – e continua ad avvenire – in violazione dell’art. 13 del GDPR, poiché non è stata fornita un’informativa adeguata e specifica sul trattamento dei dati personali, contravvenendo così anche al principio di trasparenza previsto dall’art. 5, par. 1, lett. a) del Regolamento.

Le informazioni fornite attraverso il modulo sono insufficienti, non esaustive e talvolta fuorvianti.

Il riferimento a “persone presenti” nel colloquio, ad esempio, può far intendere la presenza di soggetti terzi, mentre le informative generali aziendali non menzionano esplicitamente il trattamento legato al modulo RTWI.

 Assenza di base giuridica per il trattamento 

L’azienda ha trattato dati personali (inclusi dati sulla salute) dei dipendenti tramite il modulo RTWI senza una valida base giuridica, in violazione degli articoli 6 e 9 del GDPR.

Il trattamento non rientra nella sorveglianza sanitaria, che spetta esclusivamente al medico competente (art. 41 D.Lgs. 81/2008), e alcune domande nei moduli potevano raccogliere dati particolari, come lo stato di salute, di competenza esclusiva del medico competente e non del datore di lavoro.

La Società ha sostenuto che la compilazione fosse facoltativa e basata sul consenso, ma secondo il Garante ciò non è dimostrato, anche perché le versioni precedenti del modulo indicavano l’obbligo di compilazione al rientro il primo giorno del rientro al lavoro del lavoratore. Inoltre, il consenso nel rapporto di lavoro non può essere ritenuto libero e valido, a causa dell’asimmetria tra le parti.

Infine, né il consenso né il legittimo interesse possono essere invocati per trattare dati sanitari nel contesto lavorativo: tali trattamenti sono ammessi solo se previsti da norme di legge o da contratti collettivi, con adeguate garanzie.

Secondo il D. Lgs. n. 81 del 2008, solo il medico competente è autorizzato a trattare i dati personali di natura sanitaria dei lavoratori, esercitando questa funzione in piena autonomia e con specifica competenza tecnica, nell’ambito delle attività finalizzate alla tutela della salute e sicurezza nei luoghi di lavoro.

Violazione del principio di minimizzazione 

Molte informazioni raccolte nel modulo risultano superflue o già disponibili presso l’ufficio del personale. Ad esempio, i motivi dell’assenza o l’indicazione di restrizioni mediche dovrebbero già essere noti all’azienda attraverso canali ufficiali e competenze sanitarie.

Violazione del principio di limitazione della conservazione 

I dati raccolti attraverso i moduli venivano conservati per un massimo di 10 anni, senza indicare criteri chiari per la cancellazione o distinzione tra casi rilevanti e irrilevanti.

Il termine di conservazione di 10 anni, rileva il Garante privacy, risulta eccessivo rispetto alla natura dei dati trattati, in particolare quelli sulla salute.

Trattamento di dati non pertinenti

Le domande contenute nei moduli – come “ci sono particolari problemi di cui vuoi parlarci?” – possono portare a raccogliere informazioni sulla vita privata o su fattori ambientali non rilevanti per l’attitudine professionale del lavoratore.

Conclusioni dell’Autorità e provvedimenti adottati

Il Garante privacy ha ritenuto il trattamento illecito.

La gravità è stata considerata “media”, ma non “minore”, in virtù del numero di dipendenti coinvolti (circa 890), della durata del trattamento (dal 2020 in poi) e della natura dei dati trattati.

Il Garante ha disposto:

• divieto di trattamento dei dati raccolti tramite i moduli RTWI;
• cancellazione dei dati raccolti tramite i suddetti moduli entro 60 giorni;
• sanzione pecuniaria amministrativa di 50.000 euro, ritenuta proporzionata e dissuasiva, anche considerando le condizioni economiche dell’azienda;
• pubblicazione del provvedimento sul sito del Garante, ai sensi dell’art. 166, comma 7 del Codice.