Il provvedimento emesso il 23 giugno 2025 dal Garante per la Protezione dei Dati Personali in Italia è relativo a una violazione del Regolamento (UE) 2016/679 (GDPR). L’indagine è scaturita da un reclamo riguardante la divulgazione illecita di dati personali sensibili dei dipendenti di una Società di Trasporto, specificamente le cause delle loro assenze dal lavoro, tramite l’affissione di turni e l’invio di email aziendali. Nonostante le difese della Società e le successive modifiche alle pratiche, il Garante ha confermato l’illiceità del trattamento e ha imposto una sanzione amministrativa pecuniaria di 10.000 euro.
La divulgazione illecita di dati personali, anche di natura sensibile, era relativa ai motivi delle assenze dal lavoro. In particolare, le informazioni sulle assenze (es. “MAL” per malattia, “104” per permesso assistenza disabili, “INF” per infortunio, “SOSP” per sospensione/sanzione disciplinare, “PS” per permesso sindacale, “ric.osp.” per ricovero ospedaliero, “AVIS” per donazione sangue) venivano rese disponibili a tutti i dipendenti tramite affissione delle tabelle dei turni di servizio nelle bacheche aziendali e invio di e-mail aziendali.
La Società ha dichiarato di affiggere i turni di servizio con sigle o acronimi, in luoghi non accessibili al pubblico, per informare i lavoratori sull’assenza e sulla rimodulazione del turno, giustificando la pratica con l’esigenza di evitare conflitti interni e garantire il corretto andamento del servizio, ai sensi dell’art. 10 della legge n. 138 del 1958. Ha sostenuto che le sigle erano riferite ad assenze sopravvenute e che tali informazioni erano fornite solo per dare esecuzione ad obblighi contrattuali. Durante l’istruttoria, la Società ha comunicato di aver eliminato le abbreviazioni e gli acronimi, sostituendoli con la sola lettera “A” per indicare genericamente l’assenza, al fine di evitare contenziosi.
Il Garante ha accertato che:
- Le sigle sintetiche utilizzate erano idonee a far conoscere dati personali, anche sensibili, riferiti ai dipendenti.
- Le tabelle erano affisse in bacheche liberamente accessibili a tutto il personale dell’impresa e condivise via e-mail, configurando una “comunicazione” illecita di dati personali a un ampio numero di soggetti non legittimati.
- I dipendenti non coinvolti nel rapporto contrattuale o non autorizzati non sono legittimati a trattare informazioni dettagliate sulle assenze dei colleghi.
- La disposizione invocata dalla Società (art. 10 della legge 138/1958) prevede solo l’affissione dei turni, non l’indicazione delle cause di assenza.
- Il trattamento è stato effettuato in assenza di un idoneo presupposto di liceità.
- È stata riscontrata la violazione dei principi di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento) e la violazione dell’art. 9, par. 2, lett. b) del Regolamento (trattamento di categorie particolari di dati), in quanto le informazioni sulle cause delle assenze non erano necessarie per la programmazione dei turni.
Provvedimenti e Sanzioni:
- Il Garante ha dichiarato l’illiceità del trattamento.
- Considerato che la Società aveva già modificato la prassi aziendale, eliminando le sigle specifiche, non sono state adottate ulteriori misure correttive ai sensi dell’art. 58, par. 2, del Regolamento.
- È stata irrogata una sanzione amministrativa pecuniaria di euro 10.000,00 (diecimila) a Società Autocooperative Trasporti Italiani S.p.A..
- Nella quantificazione della sanzione sono stati considerati la gravità della violazione (riguardante dati particolari), la mancata osservanza delle Linee guida dell’Autorità, l’assenza di precedenti violazioni pertinenti e la collaborazione della Società, nonché le sue condizioni economiche.
- È stata disposta la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante.
Leggi il provvedimento del Garante qui
