Sanzionata un’azienda per aver interrogato i dipendenti al rientro: violati i principi del Gdpr.
Un’azienda metalmeccanica è stata sanzionata dal Garante per la protezione dei dati personali con un provvedimento datato 10 luglio 2025, per aver violato alcune delle regole fondamentali del Gdpr. Al centro della vicenda, una prassi gestionale adottata fin dal 2020, che prevedeva un colloquio obbligatorio tra il lavoratore e il proprio superiorediretto al momento del rientro da un periodo di malattia, infortunio o ricovero. Alla fine del colloquio, il lavoratore era invitato a compilare un modulo cartaceo, denominato Return to work interview, che veniva successivamente trasmesso all’ufficio risorse umane.
La procedura, secondo l’azienda, aveva lo scopo di favorire il reinserimento e raccogliere informazioni utili per prevenire problemi organizzativi. Ma per il Garante, si è trattato di un trattamento illecito di dati personali, aggravato dall’assenza di una base giuridica valida e da violazioni multiple dei principi previsti dal Regolamento UE 2016/679.
Cosa ha contestato il Garante: i quattro punti chiave della violazione
Il primo rilievo del Garante riguarda la mancanza di un’informativa trasparente. Il modulo cartaceo utilizzato dall’azienda non chiariva le finalità del trattamento né chi avrebbe avuto accesso alle informazioni, né indicava con precisione quali dati sarebbero stati raccolti. Frasi generiche come “persone presenti” lasciavano spazio a interpretazioni ambigue, facendo presumere la presenza di terzi non identificati ai colloqui. Si tratta, secondo l’autorità, di una violazione dell’articolo 13 del Gdpr, che impone trasparenza e chiarezza nel trattamento dei dati personali fin dal primo momento.
Il secondo punto critico è stato individuato nella mancanza di una base giuridica legittima per il trattamento. Il modulo e il colloquio raccoglievano spesso dati sensibili legati alla salute, come commenti liberi su prescrizioni mediche o richieste di incontro con il medico aziendale. Dati che possono essere trattati solo se ricorrono precise condizioni, come la sorveglianza sanitaria obbligatoria (art. 41 del D.lgs. 81/2008) o la presenza di un medico competente. In questo caso, nessuna delle due circostanze era presente. Nemmeno il consenso del lavoratore, ritenuto non libero in un contesto gerarchico, poteva essere considerato valido.
Il terzo elemento censurato riguarda il principio di minimizzazione. Il questionario, infatti, raccoglieva informazioni già disponibili agli uffici interni, come la durata dell’assenza o le prescrizioni sanitarie eventualmente già inviate dal medico competente. Un duplicato inutile che esponeva il trattamento a rischi non giustificati, oltre a trasformare un momento informale in un atto potenzialmente invasivo, gestito da figure non qualificate sul piano sanitario.
Il quarto rilievo infine riguarda la conservazione dei dati. La policy interna dell’azienda prevedeva una conservazione fino a dieci anni dei moduli compilati, un termine giudicato sproporzionato rispetto allo scopo del trattamento. Il Garante ha ritenuto eccessivo e non giustificato un periodo tanto lungo per documenti che non avevano alcuna validità giuridica specifica, ordinando la cancellazione immediata di tutti i dati raccolti e il divieto di utilizzo di quelli già presenti negli archivi.
Perché questa sentenza cambia le regole per le aziende
Il provvedimento 390/2025 rappresenta un segnale forte per tutte le realtà organizzative che, anche in buona fede, strutturano procedure interne senza un’adeguata valutazione dell’impatto privacy. Il Garante ha ricordato che la tutela dei dati personali dei lavoratori, specie quando riguardano lo stato di salute, non può essere subordinata a prassi aziendali, anche se finalizzate alla prevenzione o al benessere organizzativo.
Qualsiasi attività di reinserimento deve rispettare i principi di liceità, trasparenza, proporzionalità e minimizzazione, previsti dagli articoli 5 e 6 del Gdpr. Quando queste condizioni vengono meno, anche una pratica motivata da intenti positivi può tradursi in una violazione dei diritti fondamentali del lavoratore, con sanzioni severe.
L’azienda è stata condannata a pagare una sanzione amministrativa di 50.000 euro e a interrompere immediatamente la prassi contestata. Non solo: tutti i moduli raccolti negli anni precedenti dovranno essere cancellati e non potranno più essere utilizzati in nessuna forma.
Il caso dimostra come il rispetto della privacy non sia un semplice adempimento formale, ma un elemento strutturale nella gestione del personale, che deve essere progettato con attenzione e documentato in ogni fase. Chi ignora questo principio, anche in contesti interni, rischia non solo sanzioni economiche, ma anche danni reputazionali e problemi organizzativi.