Privacy. Accesso a distinte di bonifici dei colleghi: illecito il trattamento dei dati

---

Condividi l'articolo:

---

Il provvedimento del Garante per la protezione dei dati personali dell’11 settembre 2025 (Registro dei provvedimenti n. 490, doc. web n. 10174501) decide sul reclamo presentato da un dipendente che lamentava la diffusione indebita di dati personali relativi a sé e ad altri colleghi da parte delle società datrice di lavoro.

Il caso rappresenta un tipico esempio di data breach interno connesso a un errore umano nella gestione delle cartelle condivise su server aziendali e fornisce un importante approdo circa l’applicazione degli artt. 5, 24 e 25 del Regolamento, nonché dei principi di accountability, minimizzazione dei dati e protezione by design e by default.

Accesso non autorizzato a dati personali tramite rete intranet aziendale

Il reclamante aveva effettuato, presso la sede della ditta e durante lo svolgimento delle ordinarie mansioni di lavoro, l’accesso al sistema informatico intranet aziendale mediante le proprie credenziali personali, utilizzando un computer aziendale condiviso con altri dipendenti del reparto.

Durante la navigazione all’interno del sistema, il reclamante aveva potuto accedere a sezioni contenenti dati personali di numerosi colleghi, tra cui documenti relativi alle distinte di bonifici per trattenute stipendiali, eseguite dalla società a titolo di prestiti, pignoramenti o cessioni del quinto, contenenti informazioni economiche e bancarie riferite ai singoli dipendenti.

Caricamento errato di documenti sensibili in cartella condivisa accessibile a terzi

Il Garante, preso atto della segnalazione, ha richiesto chiarimenti alla società.

Dalla risposta fornita dalla società datrice di lavoro, è emerso che l’evento era stato causato da un “mero errore umano” dovuto all’erroneo caricamento, da parte dei reparti HR e Finance, di file contenenti dati personali all’interno di una cartella condivisa (“SEPA”) accessibile a personale non autorizzato.

L’azienda ha dichiarato di aver rimosso i file entro 24 ore dalla segnalazione e di aver successivamente aggiornato i modelli di distinta in modo da eliminare riferimenti identificativi ai dipendenti.

Avvio e sviluppo del procedimento istruttorio

Il Garante privacy ha avviato un procedimento sanzionatorio, ipotizzando violazioni degli artt. 5, par. 1, lett. f) e 24 del regolamento (UE) 2016/679.

La società, nei propri scritti difensivi, ha ribadito la natura accidentale dell’accaduto e ha sostenuto di aver agito tempestivamente per limitare gli effetti dell’incidente, sottolineando inoltre di aver avviato un percorso di “privacy gap analysis” e nuove attività di formazione del personale.

Nonostante tali misure, il Garante ha ritenuto che la società avesse posto in essere un trattamento illecito di dati personali, non avendo garantito un livello adeguato di sicurezza conforme al principio di integrità e riservatezza.

Valutazioni giuridiche del Garante privacy

Il Garante ha fondato il proprio ragionamento su tre assi normativi principali:

a) Violazione dell’art. 5, par. 1, lett. f) – “Integrità e riservatezza”

La norma impone che i dati personali siano trattati in modo da garantire “un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti”.

Nel caso concreto, la messa a disposizione involontaria dei dati di circa 20 dipendenti in una cartella accessibile a soggetti non autorizzati ha costituito una violazione diretta di tale principio.

b) Violazione dell’art. 24 – “Responsabilità del titolare del trattamento”

Il titolare deve “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento”.

Il provvedimento rileva che l’azienda non aveva predisposto controlli o policy sufficienti per impedire la pubblicazione di documenti contenenti dati personali in aree condivise, dimostrando una carenza di governance e supervisione del rischio privacy.

c) Violazione dell’art. 25 – “Protezione dei dati fin dalla progettazione e per impostazione predefinita”

Il Garante sottolinea che solo dopo l’incidente la società ha corretto i modelli di distinta eliminando i nomi dei dipendenti, il che “dimostra che tali dati non erano necessari rispetto alle finalità da perseguire”.

Ciò evidenzia una mancata applicazione preventiva del principio di minimizzazione, cardine della data protection by design.

Decisione finale

Alla luce delle risultanze istruttorie, il Garante ha dichiarato l’illiceità del trattamento, ammonito e disposto la pubblicazione del provvedimento sul sito del Garante nonché l’annotazione nel registro interno delle violazioni.