Garante privacy: vietato pubblicare i motivi di assenza dei dipendenti

---

Condividi l'articolo:

---

È illegittimo pubblicare i motivi delle assenze dei dipendenti. A stabilirlo è il Garante per la protezione dei dati personali con provvedimento del 23 giugno 2025 (registro dei provvedimenti n. 363/2025), sanzionando una società che aveva reso note, tramite bacheche e e-mail interne, sigle e acronimi che indicavano cause di assenza come malattia, infortunio o permessi sindacali.

Motivi del reclamo: pubblicazione delle cause di assenza

Con reclamo, il sindacato, su mandato di alcuni dipendenti, segnalava un illecito trattamento di dati personali, da parte della società datrice di lavoro, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.

Più nel dettaglio, il reclamante lamentava che la Società aveva pubblicato i turni di servizio accompagnati da sigle che identificavano le cause delle assenze: ad esempio “MAL” per malattia, “104” per permesso ex legge 104/1992, “INF” per infortunio, “PS” per permesso sindacale.

Queste informazioni venivano rese conoscibili non solo ai responsabili della gestione del personale, ma a tutto il personale, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.

Giustificazioni della Società datrice di lavoro

Interpellata dal Garante privacy con richiesta di informazioni in data 16 febbraio 2024, la Società ha risposto con nota del 15 marzo 2024, fornendo diverse argomentazioni a difesa della propria condotta.

In primo luogo, ha richiamato l’art. 10 della legge n. 138/1958, che prevede l’obbligo di affissione dei turni di servizio in modo che il personale ne possa prendere conoscenza. Secondo la società, la pubblicazione dei  turni, con l’uso di sigle e acronimi, sarebbe stato funzionale a garantire trasparenza e a mostrare che non vi erano trattamenti di favore nella turnazione.

La Società ha inoltre sottolineato che:

• le sigle non riguardavano le assenze programmate, ma quelle sopravvenute, che determinavano una necessaria rimodulazione dei turni;
• l’inserimento di tali codici era ritenuto utile per gestire il rapporto di lavoro con i colleghi chiamati a sostituire gli assenti e per evitare conflitti interni, assicurando la regolarità del servizio;
• la prassi era adottata, a loro avviso, in conformità alle linee guida del Garante del 23 novembre 2006 sul trattamento dei dati dei lavoratori per finalità di gestione del rapporto di lavoro.

Pur ritenendo corretto il proprio operato, la società ha comunicato di avere modificato la prassi: le tabelle dei turni non riportavano più le sigle specifiche delle cause di assenza, ma unicamente la lettera “A” per indicare genericamente l’assenza del lavoratore. Tale scelta è stata compiuta, come dichiarato dalla società, “al solo fine di evitare contenziosi”.

La valutazione del Garante

L’Autorità ha evidenziato che la Società, in qualità di titolare del trattamento, ha gestito in modo illecito dati personali e particolari dei propri dipendenti, diffondendo informazioni attraverso l’affissione di turni nelle bacheche aziendali e l’invio degli stessi tramite e-mail.

Infatti, anche l’uso di sigle o abbreviazioni per indicare le diverse tipologie di assenza si è rivelato idoneo a far conoscere informazioni sensibili, riguardanti lo stato di salute o l’appartenenza sindacale dei lavoratori. con conseguente violazione della normativa in materia di protezione dei dati

In linea generale, la normativa sulla protezione dei dati personali ammette che il datore di lavoro tratti i dati dei propri dipendenti, compresi quelli appartenenti alle categorie particolari – come i dati sulla salute o sull’appartenenza sindacale – ma solo se ciò risulta strettamente necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi previsti da leggi, regolamenti, normative comunitarie o contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4, e 88 del Regolamento 2016/679).

In ogni caso, il datore di lavoro, in qualità di titolare del trattamento, deve sempre attenersi ai principi fondamentali fissati dal Regolamento, tra cui la liceità, correttezza e trasparenza e soprattutto la minimizzazione, che impone di limitare il trattamento ai soli dati adeguati, pertinenti e realmente necessari rispetto alle finalità perseguite (art. 5, par. 1, lett. a) e c).

Nel caso oggetto del provvedimento, è emerso dalle dichiarazioni rese dalla Società che i turni di servizio, con l’indicazione delle cause di assenza, venivano affissi nelle bacheche collocate nei depositi aziendali e, in aggiunta, trasmessi via e-mail a tutto il personale. Anche se l’accesso a tali depositi era formalmente interdetto al pubblico, le informazioni erano comunque liberamente conoscibili da tutti i dipendenti, ben oltre i soggetti legittimati a trattarle.

In questo modo i dati personali, compresi quelli di natura sensibile, sono stati messi a disposizione di una platea più ampia del necessario, configurando una vera e propria “comunicazione” illecita di dati personali ai sensi dell’art. 2, comma 4, del Codice.

Contrariamente a quanto sostenuto dalla Società, il Garante privacy ha precisato che i dati personali dei dipendenti non possono essere resi conoscibili a soggetti diversi da quelli che fanno parte del rapporto contrattuale. Allo stesso modo, non possono essere trattati da chi, pur operando all’interno dell’impresa, non è autorizzato ad accedere a tali informazioni in ragione delle mansioni svolte.

In base alle definizioni di “interessato” e di “terzo” contenute nell’art. 4 del Regolamento, i lavoratori addetti al servizio di trasporto non sono legittimati a conoscere i dettagli sulle assenze dei colleghi, poiché non hanno alcun titolo per trattare tali dati. Tale interpretazione è in linea con precedenti provvedimenti del Garante e con le linee guida in materia di gestione dei dati dei lavoratori.

Inoltre, la norma invocata dalla Società a propria difesa (art. 10 della legge n. 138/1958) si limita a stabilire l’obbligo di affiggere i turni di servizio nei luoghi di lavoro, senza in alcun modo autorizzare l’indicazione delle cause delle assenze. La condotta, pertanto, è stata posta in essere in assenza di un valido presupposto di liceità.

Sanzioni comminate alla Società

Considerati la natura e la gravità della violazione, ma anche la collaborazione della Società e l’assenza di precedenti, il Garante ha applicato una sanzione amministrativa pecuniaria pari a 10.000 euro. È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante, data la rilevanza dei dati coinvolti.