Nelle tabelle/turni di servizio non vanno riportati i motivi di assenza, neppure in forma di sigle o abbreviazioni.
Nota a Provv. GPDP 23 giugno 2025, n. 363
Fabrizio Girolami
Il Garante per la privacy – con il provvedimento n. 363 del 23.6.2025 – ha ingiunto a una società operante nel settore dei trasporti il pagamento di una sanzione amministrativa pecuniaria (Euro 10.000) per “illecito trattamento di dati personali”, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale, in violazione del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 30.6.2003, n. 196 e s.m.i.
La vicenda trae origine dal reclamo presentato da una OO.SS. su mandato di alcuni dipendenti, i quali avevano lamentato che la società aveva divulgato “a tutto il personale” le cause delle assenze, mediante affissione delle “tabelle dei turni di servizio” sulle bacheche aziendali (posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio) nonché tramite l’invio di “e-mail dei turni di servizio” ai dipendenti dell’azienda. In particolare, le tabelle/turni di servizio riportavano i motivi delle assenze mediante “sigle sintetiche” (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “SOSP” in luogo di sospensione/sanzione disciplinare, ecc.), rendendo così accessibili informazioni idonee a rivelare lo stato di salute (dati sanitari) o l’appartenenza sindacale dei colleghi (dati sindacali).
La società, a propria difesa, aveva sostenuto che le sigle/abbreviazioni garantivano “trasparenza” e prevenivano “conflitti tra i lavoratori chiamati a sostituire i colleghi assenti” e aveva invocato l’art. 10 della L. n. 138/1958 (sull’“orario di lavoro del personale degli automezzi pubblici di linea extraurbani adibiti al trasporto viaggiatori”) proprio “per informare tutti i lavoratori che l’azienda non adotta alcun trattamento di favore nel predisporre la turnazione”.
A conclusione del procedimento – nel corso del quale la società aveva comunque provveduto a eliminare tutte/i le abbreviazioni/acronimi oggetto di reclamo (inserendo la sola lettera “A” per indicare genericamente l’assenza) – il Garante ha osservato quanto segue:
- secondo la disciplina in materia, il datore di lavoro può trattare i dati personali dei dipendenti, anche relativi a “categorie particolari di dati” (salute o appartenenza sindacale: art. 9, par. 1, GDPR), se il trattamento “è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi” (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del GDPR);
- il titolare del trattamento deve rispettare i “principi in materia di protezione dei dati”, tra cui quelli di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del GDPR);
- i dati personali dei dipendenti “non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto contrattuale” e non possono essere trattati “da coloro che, ancorché operino presso l’impresa, non siano autorizzati ad accedere a tali dati, in ragione delle mansioni svolte”; pertanto, i dipendenti addetti al servizio di trasporto non sono in alcun modo “legittimati a trattare informazioni di dettaglio sulle assenze dei colleghi”;
- l’art. 10 della L. n. 138/1958 prevede unicamente che “le aziende esercenti devono affiggere i turni di servizio negli uffici, nelle autostazioni, nei depositi e nelle officine in modo che il personale ne possa prendere conoscenza”, nulla disponendo in ordine all’indicazione delle possibili cause di assenza da lavoro;
- il trattamento effettuato dalla società è, dunque, “illecito” in quanto la comunicazione delle informazioni relative ai motivi delle assenze da lavoro è “avvenuta al difuori delle specifiche competenze e degli obblighi sanciti dalla normativa” e, trattandosi di “categorie particolari di dati”, è stata effettuata in violazione dell’art. 9 del GDPR, nonché del “principio di minimizzazione dei dati”, in quanto le informazioni sulle cause delle assenze da lavoro “non risultano necessarie a garantire il regolare avvicendamento e la programmazione dei turni di lavoro”.