Con il provvedimento n. 390 del 10 luglio 2025 (premere qui per leggere), il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento svolto da una grande azienda del settore manifatturiero con stabilimenti nel Mezzogiorno, irrogando una sanzione amministrativa di 50.000 euro e disponendo il divieto di prosecuzione del trattamento, nonché la cancellazione dei dati raccolti.
La decisione affronta in modo approfondito il tema dei colloqui di rientro al lavoro dopo assenze per malattia, infortunio o ricovero, chiarendo i limiti invalicabili entro cui il datore di lavoro può raccogliere informazioni sui lavoratori, soprattutto quando tali informazioni intercettano dati relativi alla salute.
1. L’origine del procedimento
Il procedimento trae origine da una segnalazione sindacale, con cui veniva lamentato che i lavoratori, al rientro da periodi di assenza, fossero sottoposti a un colloquio obbligatorio con il responsabile diretto, nel corso del quale veniva compilato un questionario strutturato (“colloquio di rientro”) successivamente trasmesso all’ufficio risorse umane.
Il modulo, adottato in versioni differenti dal 2020 in poi, era finalizzato — secondo l’azienda — a “intercettare situazioni di disagio” e a favorire il reinserimento del dipendente nel contesto lavorativo.
2. Il trattamento contestato
Dall’istruttoria è emerso che il colloquio avveniva sistematicamente al rientro da assenze per malattia, infortunio o ricovero e che il responsabile compilava un modulo contenente domande potenzialmente idonee a rivelare dati relativi alla salute.
E’ stato poi acceretato che i moduli venivano conservati nel fascicolo personale del lavoratore per un periodo massimo di dieci anni e che l’informativa privacy era assente o gravemente incompleta.
Infine, la compilazione del modulo era presentata come “facoltativa”, ma nei fatti imposta dall’organizzazione aziendale, specie nelle versioni iniziali.
3. Il quadro giuridico di riferimento
Il Garante ha ricostruito puntualmente la disciplina applicabile, richiamando:
- artt. 5, 6 e 9 GDPR, in tema di liceità, minimizzazione e trattamento di categorie particolari di dati;
- art. 13 GDPR, relativo all’obbligo di informativa;
- art. 88 GDPR e art. 113 del Codice Privacy, che rinviano alle norme speciali sul rapporto di lavoro;
- art. 8 dello Statuto dei Lavoratori, che vieta indagini su fatti non rilevanti ai fini dell’attitudine professionale;
- la normativa in materia di salute e sicurezza sul lavoro, che attribuisce la sorveglianza sanitaria esclusivamente al medico competente.
Il Garante ribadisce un principio cardine: il datore di lavoro non può trattare dati sanitari dei dipendenti al di fuori delle ipotesi tassativamente previste dalla legge.
4. L’assenza di una base giuridica valida
Secondo l’Autorità, nessuna delle basi giuridiche invocate dall’azienda era idonea a legittimare il trattamento.
In particolare, il consenso dei lavoratori è inidoneo, a causa dell’asimmetria strutturale del rapporto di lavoro. L’obbligo di tutela ex art. 2087 c.c. non può essere interpretato come fonte autonoma di liceità per la raccolta di dati sanitari. Il legittimo interesse non è applicabile ai dati appartenenti a categorie particolari, né può essere invocato in via residuale e l’attività svolta non rientrava nella sorveglianza sanitaria, riservata al medico competente.
Il trattamento risultava dunque privo di base giuridica sin dall’origine.
5. Violazione dei principi di minimizzazione e limitazione della conservazione
Il Garante ha inoltre accertato che molte informazioni richieste erano non pertinenti o già nella disponibilità dell’ufficio del personale e che il questionario determinava una duplicazione ingiustificata della raccolta di dati, anche sensibili e pure che il periodo di conservazione (fino a dieci anni) era sproporzionato e non chiaramente determinato, in violazione dell’art. 5, par. 1, lett. e) GDPR.
Particolarmente grave è stata ritenuta la possibilità che dalle domande emergessero informazioni sulla salute o su situazioni personali non rilevanti, in contrasto con le norme a tutela dei lavoratori.
6. La decisione del Garante
Alla luce delle violazioni accertate, l’Autorità ha dichiarato illecito il trattamento dei dati personali effettuato tramite i colloqui di rientro e disposto il divieto di ulteriore trattamento dei dati raccolti.
Ha inoltre ordinato la cancellazione dei moduli già compilati entro 60 giorni ed irrogato una sanzione amministrativa pecuniaria di 50.000 euro, disponendo la pubblicazione del provvedimento, in ragione della gravità, durata e diffusività della condotta.
7. Considerazioni conclusive
Il provvedimento chiarisce in modo netto che le politiche di “benessere aziendale” non possono tradursi in pratiche invasive della sfera personale del lavoratore.
Nel rapporto di lavoro, la protezione dei dati non è un adempimento formale, ma un limite sostanziale all’esercizio del potere organizzativo e direttivo.
La raccolta di informazioni al rientro da un’assenza può avvenire solo entro confini rigorosi, nel rispetto della competenza esclusiva del medico competente, del principio di minimizzazione, del divieto di indagini sulla vita privata nonché della piena trasparenza verso l’interessato.
Ogni deviazione da questi principi espone il datore di lavoro a responsabilità significative.
Sull'autore
