Con un provvedimento del 10 luglio 2025, il Garante per la protezione dei dati personali ha sanzionato una società per aver trattato in modo illecito i dati dei lavoratori in occasione di colloqui di rientro dopo assenze per motivi di salute.
L’uso di un modulo specifico per raccogliere informazioni personali, seppur finalizzato al reinserimento lavorativo, è risultato non conforme al Regolamento (UE) 2016/679 (GDPR) e alla normativa nazionale in materia di privacy.
Ti potrebbero interessare:
- Software DPIA Easy - Valutazione impatto sulla protezione dati
- La Privacy negli studi professionali -eBook
- Formulario commentato della privacy - Libro di carta
- Manuale operativo del D.P.O.- Libro di carta ed. aggiornata
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
1) Il caso: questionario per il rientro al lavoro
La vicenda trae origine da una segnalazione sindacale relativa alla prassi aziendale di sottoporre i dipendenti, dopo periodi di assenza per malattia, infortunio o ricovero, a un colloquio strutturato con un proprio responsabile. In tale occasione veniva compilato un modulo denominato Return to Work Interview (RTWI), successivamente archiviato nelle risorse umane.
La finalità dichiarata dall’azienda era quella di tutelare la salute e il benessere psico-fisico dei lavoratori e facilitare il loro reinserimento. Tuttavia, il Garante ha riscontrato che il modulo poteva raccogliere dati sanitari, anche indirettamente, in violazione delle disposizioni che riservano tali trattamenti al solo medico competente. Inoltre, non veniva fornita un’informativa adeguata né era garantita la libertà del consenso.
Ti potrebbero interessare:
- I ricorsi al Garante della privacy - libro di carta
- Responsabilità Civile Illecito Trattamento dati - libro di carta
- Tutela della Privacy - (Pacchetto 2 eBook)
- Il condominio e la privacy
Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy
2) La decisione del Garante: gravi violazioni accertate
L’Autorità ha evidenziato dunque diverse serie criticità, tra cui:
- Mancanza di un’informativa chiara e completa: le poche righe presenti all’inizio del modulo non descrivevano in modo esaustivo il trattamento dei dati. Anche le informazioni fornite nei portali aziendali risultavano generiche e non riferibili allo specifico trattamento.
- Trattamento illecito di dati sanitari: alcune domande contenute nel modulo potevano comportare, direttamente o attraverso i commenti del lavoratore, la rivelazione di dati sensibili. Secondo il GDPR, tali trattamenti devono essere autorizzati dal diritto dell’Unione o nazionale, oppure essere effettuati esclusivamente dal medico competente, come previsto dal D.lgs. 81/2008.
- Base giuridica inadeguata: la società faceva riferimento alternativamente a obblighi di legge (art. 2087 c.c.), consenso o legittimo interesse. Il Garante ha ribadito che, nel rapporto di lavoro, il consenso non è di norma valido a causa del disequilibrio tra le parti, e che il trattamento di dati sanitari richiede presupposti specifici.
- Violazione dei principi di minimizzazione e limitazione della conservazione: le informazioni raccolte erano in parte superflue, già note all’ufficio del personale, e conservate fino a 10 anni, senza criteri chiari per la loro cancellazione.
Calcola gli effetti fiscali delle imposte sostitutive previste dalla Legge di Bilancio 2026 per rinnovi contrattuali, premi di produttività e trattamento accessorio con il tool excel Calcolo detassazione Lavoro 2026 | Excel
Ti segnaliamo:
- Rimborsi spese 2026 | eBook
- Trasferte, trasferimenti e distacchi - eBook 2026
- Welfare aziendale & Fringe benefit - Libro di carta 2026
- Informativa trasparenza ai lavoratori - eBook 2025
- ConvertiATECO 2022-2025 il file excel indispensabile per commercialisti, imprese e autonomi: trova, confronta e trasforma i codici ATECO 2022-2025 in pochi click!
- Il lavoro nello spettacolo - Libro di carta Guida agli aspetti contrattuali, fiscali e previdenziali di M.Matteucci, G. Ulivi, B. Garbelli, S. Ricci - Maggioli Editore - 164 pagg.
Per approfondimenti sul nuovo diritto del lavoro, abbiamo organizzato
il Corso avanzato di diritto del lavoro - corso online di 4 appuntamenti in diretta di 2 ore, che intende esaminare, con taglio operativo, le principali novità e criticità nella gestione del rapporto di lavoro privato.
e il corso online Sostenibilita ambientale e trasparenza salariale in diretta dal 7 maggio e poi in differita.
3) Le misure: sanzione e obbligo di cancellazione -
Il Garante ha concluso che il trattamento non rispettava diversi articoli del Regolamento (in particolare artt. 5, 6, 9, 13 e 88) e l’art. 113 del Codice Privacy.
Ha quindi disposto:
- Il divieto di proseguire nel trattamento dei dati raccolti tramite i moduli;
- La cancellazione dei dati già acquisiti, entro 60 giorni dalla notifica del provvedimento;
- L’irrogazione di una sanzione pecuniaria pari a 50.000 euro.
Il provvedimento è stato pubblicato sul sito dell’Autorità, anche per l’alto numero di lavoratori coinvolti e la durata della violazione, protrattasi dal 2020.
Questo caso sottolinea l’importanza, per le aziende, di coniugare le buone prassi organizzative con il rispetto della normativa in materia di privacy.
Inoltre, anche iniziative finalizzate alla tutela del benessere lavorativo devono essere progettate nel rispetto del principio di liceità e della normativa sul trattamento dei dati. In particolare, quando si sfiorano dati relativi alla salute, occorre che il trattamento sia strettamente necessario, autorizzato dalla legge e condotto da soggetti legittimati.
Ti segnaliamo anche:
- La Busta paga 2026: guida operativa (eBook)
- La Busta paga in edilizia eBook
- Intelligenza Artificiale e Risorse Umane libro di carta
- Guida alle agevolazioni all'assunzione 2025 - eBook
- Collaborazioni coordinate e continuative | eBook
Per tanti altri prodotti editoriali visita la sezione dedicata agli E-book Lavoro, la Collana dei Pratici fiscali e la Collana Facile per tutti
