Con il Provvedimento del 10 luglio 2025 (10154148390) il Garante Privacy ha sanzionato un’azienda perché, dopo assenze per malattia, infortunio o ricovero, i dipendenti venivano sottoposti a un colloquio associato ad un questionario che veniva poi trasmesso all’Ufficio Risorse Umane, il quale con il medico competente valutava tra le altre la modifica della postazione di lavoro.
Il garante ha ravvisato
- violazione art. 13 e art. 5, parag. 1, lett. a) del Reg. UE/2016/679, per l’assenza di un’informativa chiara e trasparente ai dipendenti in merito allo specifico trattamento dei propri dati;
- violazione degli art. 6 e 9 del Reg. UE/2016/679 pe l’assenza di un’idonea condizione di liceità. La compilazione del questionario e quindi il trattamento dei dati è risultato sfornito della necessaria base giuridica poichè non rientrante nell’attività di sorveglianza sanitaria, che, ad ogni modo è, per espressa previsione normativa, di esclusiva competenza del medico competente e non del datore di lavoro;
- violazione del principio di minimizzazione di cui all’ art. 5, parag. 1, lett. c) del Reg. UE/2016/679, stante l’inutile duplicazione dell’acquisizione di dati posto che l’ufficio del personale legittimamente gia li possedeva;
- violazione degli art. 5, parag. 1, lett. e) e art. 88 Reg. UE/2016/679, stante la conservazione di dati non pertinenti per un tempo sproporzionato rispetto alle finalità per cui venivano raccolti.
Il Garante privacy ha comminato la sanzione di 50 mila euro all’azienda ordinando il divieto del trattamento dei dati e la cancellazione di quelli già raccolti e conservati. L’Autorità ha valutato la gravità e la durata ( 10 anni) delle violazioni, del fatto che il trattamento ha riguardato anche dati sulla salute, del numero di dipendenti coinvolti (circa 890) e del fatturato dell’azienda.
Dott.ssa Mag. Eleonora Maria Donadio, Infermiera Legale Forense Legal Consultant and Quality APSILEF, Resp. APSILEF Emilia-Romagna