Il Garante per la protezione dei dati personali, con il provvedimento 582  del 9 ottobre 2025 (doc. web n. 10191660), è intervenuto su un caso di trattamento improprio di dati dei dipendenti all’interno di una pubblica amministrazione. L’Autorità ha valutato come illecito l’invio di una comunicazione collettiva contenente informazioni relative allo stato di avanzamento dei percorsi formativi obbligatori sulla piattaforma Syllabus con la specificazione dei nominativi dei dipendenti inadempienti .

L’analisi condotta dal Garante ha richiamato i principi fondamentali del Regolamento (UE) 2016/679 e del d.lgs. 196/2003, in particolare i principi di liceità, correttezza, trasparenza e minimizzazione dei dati (art. 5, par. 1, lett. a) e c) del Regolamento), oltre alla disciplina sull’ammissibilità della comunicazione di dati personali da parte dei soggetti pubblici (art. 6 del Regolamento e art. 2-ter del Codice Privacy). Il provvedimento rappresenta un richiamo importante per datori di lavoro pubblici e privati, nonché per consulenti e responsabili della gestione del personale, in merito alla necessità di adottare modalità di comunicazione che tutelino la riservatezza dei lavoratori.

Il caso: invio elenco dei dipendenti con mancata informazione

La vicenda trae origine dal reclamo di un dipendente che aveva ricevuto, insieme ad altri colleghi, una email cumulativa proveniente dall’ufficio di segreteria dell’amministrazione  riguardante la formazione obbligatoria del personale

Come ricostruito dal Garante nel provvedimento, l’amministrazione aveva attivato percorsi formativi obbligatori rivolti a tutto il personale e  ridosso della scadenza  l’ente aveva predisposto un elenco dei dipendenti che risultavano inadempienti  e aveva provveduto a inviare un’unica comunicazione collettiva di sollecito.

Dagli atti istruttori emerge che l’amministrazione aveva già tentato contatti individuali e telefonici, e che la scelta di procedere con un unico invio cumulativo era stata motivata dalla volontà di accelerare l’adempimento e di garantire il buon funzionamento dell’ufficio, anche alla luce delle difficoltà organizzative e della carenza di personale.

La comunicazione, tuttavia, rendeva reciprocamente conoscibili ai destinatari informazioni non necessarie,  integrando un trattamento di dati personali non strettamente pertinente rispetto alle finalità perseguite. 

La decisione del garante: niente sanzioni

Il Garante ha ritenuto che l’invio cumulativo della comunicazione fosse illegittimo, in quanto contrario ai principi di protezione dei dati richiamati dall’art. 5 del Regolamento (UE) 2016/679. L’Autorità ha rilevato che la scelta organizzativa adottata dall’amministrazione non fosse idonea a giustificare la diffusione interna di informazioni riferite ai lavoratori, poiché un invio individuale avrebbe permesso di perseguire le stesse finalità senza pregiudicare la riservatezza degli interessati.

In particolare, il Garante ha richiamato:

• il principio di minimizzazione, secondo cui devono essere trattati solo i dati adeguati e pertinenti rispetto alle finalità (art. 5, par. 1, lett. c) del Regolamento).
• il  principio di liceità e correttezza, che impone al datore di lavoro di limitare l’accessibilità ai dati ai soli soggetti autorizzati (art. 5, par. 1, lett. a) del Regolamento).

Le Linee guida del 14 giugno 2007 sulla gestione dei dati dei dipendenti in ambito pubblico, tuttora rilevanti, che raccomandano comunicazioni individualizzate e l’adozione di misure idonee a prevenire la conoscibilità ingiustificata di informazioni personali.

L’Autorità ha inoltre escluso la possibilità di qualificare la comunicazione come una semplice informativa di servizio priva di contenuti sensibili, sottolineando che i dati riguardavano comunque l’esecuzione di un obbligo formativo individuale e potevano risultare idonei a incidere sulla percezione professionale dei lavoratori.

Alla luce degli elementi emersi, il Garante ha dichiarato illecita la comunicazione dei dati e ha disposto l’ammonimento dell’amministrazione, ma senza sanzioni in quanto la violazione è  stata valutata  di entità contenuta e alla luce del comportamento collaborativo dell’ente  che ha emesso una  circolare interna finalizzata a prevenire il ripetersi di situazioni analoghe.

Il Garante per la protezione dei dati personali è intervenuto nei confronti di un ente pubblico regionale, in seguito a un reclamo presentato da una dipendente e a una segnalazione del Dipartimento della Funzione Pubblica. Entrambe le segnalazioni riguardavano l’uso, da parte dell’ente, di sistemi di geolocalizzazione per controllare i lavoratori in smart working tramite l’applicazione “Time Relax”.

In particolare, l’ente richiedeva ai dipendenti in lavoro agile di effettuare timbrature in entrata e uscita tramite dispositivi elettronici, abilitando la localizzazione, per verificare la compatibilità della posizione effettiva con quanto previsto negli accordi individuali. In almeno un caso, tali informazioni sono state utilizzate per avviare un procedimento disciplinare nei confronti della persona interessata.

Ecco i dettagli sulla decisione del Garante in  merito.

Smart working e geolocalizzazione: le violazioni evidenziate dal Garante

Il Garante ha riscontrato nell'attività del ente  numerose violazioni della normativa in materia di protezione dei dati personali, in particolare del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.lgs. 196/2003). Le principali criticità sono:

• Illiceità del trattamento dei dati

Il monitoraggio della posizione geografica dei lavoratori risultava finalizzato a verificare il rispetto delle condizioni dell’accordo di lavoro agile, rappresentando un controllo diretto dell’attività lavorativa. Tale finalità non è ammessa dalla legge e contrasta con i principi di proporzionalità e rispetto della libertà morale del lavoratore.

• Assenza di base giuridica idonea

L’ente ha giustificato il trattamento facendo riferimento a una propria delibera e a un accordo con i sindacati. Tuttavia, secondo il Garante, questi atti non bastano a legittimare il trattamento. Inoltre, il consenso del lavoratore, richiesto dall’app per attivare la localizzazione, non è considerato valido in ambito lavorativo a causa dello squilibrio tra le parti.

• Violazione dei principi di minimizzazione e finalità

La raccolta sistematica di coordinate GPS eccedeva quanto strettamente necessario per la gestione del rapporto di lavoro, comportando un’intrusione nella sfera privata non giustificata.

• Informativa carente

I documenti aziendali non contenevano tutte le informazioni previste dall’art. 13 del GDPR. I lavoratori non erano adeguatamente informati su come e perché venivano trattati i loro dati di geolocalizzazione.

• Assenza di valutazione d’impatto

L’ente non aveva effettuato la valutazione preventiva dei rischi sui diritti e le libertà delle persone interessate, nonostante il trattamento implicasse un elevato grado di rischio.

• Uso improprio a fini disciplinari

I dati geolocalizzati sono stati utilizzati per avviare un procedimento disciplinare, anche se successivamente sospeso. Secondo il Garante, questo utilizzo era illecito, essendo basato su dati raccolti per altre finalità e comunque senza una base giuridica adeguata.

La decisione e i limiti alla sorveglianza sul lavoro agile

l Garante ha  quindi dichiarato illecito il trattamento e ha comminato una sanzione amministrativa pecuniaria di 50.000 euro. Ha inoltre disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale per ragioni di trasparenza e funzione deterrente, data la gravità della condotta e il numero significativo di lavoratori coinvolti.

L’ente, da parte sua, ha dichiarato di aver interrotto il trattamento contestato e disattivato la funzione di geolocalizzazione dell’applicazione, adottando misure correttive in autotutela.

Il provvedimento ribadisce il  principio cardine  generale per cui il controllo dell’attività lavorativa deve avvenire nel rispetto dei diritti fondamentali dei lavoratori, senza trasformarsi in sorveglianza invasiva.

Il datore di lavoro può ricorrere a strumenti tecnologici solo se strettamente necessari per finalità organizzative, produttive, di sicurezza o tutela del patrimonio, e comunque solo in forma indiretta e limitata. Ogni trattamento di dati personali deve poggiare su basi giuridiche solide, essere proporzionato e preceduto da un’attenta valutazione dei rischi.

Va anche sottolineato  il principio  dell’inadeguatezza del consenso del lavoratore come fondamento giuridico nei rapporti di lavoro, riaffermando l’esigenza di tutele rafforzate nei contesti contrattuali asimmetrici come quello tra dipendente e datore pubblico o privato.

Nell'ordinanza della Corte di Cassazione n. 807 del 13 gennaio scorso vengono chiariti ulteriormente i vincoli  che la normativa del lavoro e il Regolamento sulla privacy  pongono ai datori di lavoro in merito all'utilizzo   dei dispositivi elettronici aziendali . La nuova pronuncia si occupa in particolare di un caso di  licenziamento a seguito  di indagini sul pc di un dipendente a causa di fondati sospetti di attività illecita , nel quale la Suprema corte  conferma la decisione di merito sottolineando   che il  controllo  sui  periodi precedenti il sospetto, è vietato,  per cui le eventuali  informazioni  acquisite non sono  utilizzabili a fini  di una contestazione disciplinare verso il dipendente.

Controllo posta elettronica : i limiti dello Statuto dei lavoratori e Jobs At

La Cassazione afferma ancora una volta come , i controlli tecnologici sugli strumenti digitali aziendali, sebbene ammessi dallo Statuto dei lavoratori modificato dal Jobs Act del 2015, devono rispettare specifici parametri di bilanciamento tra  il rispetto della privacy del lavoratore e le esigenze di tutela degli interessi aziendali.

 In particolare, le verifiche sono ammesse:

• solo in presenza di un fondato sospetto  di attività illecite e 
•  devono limitarsi ai dati raccolti successivamente al suo insorgere .

 Qualsiasi verifica retrospettiva, come quella effettuata nel caso analizzato, viola l’articolo 4 dello Statuto dei lavoratori, che consente controlli unicamente ex post.

 Inoltre, viene precisato che l’informativa sulla privacy  regolarmente visionata e accettata dal dipendente , non può sanare l’illegittimità di controlli eseguiti in violazione delle norme, poiché tale adempimento ha finalità diverse. 

La sentenza sottolinea   che l’azione disciplinare può basarsi solo su dati raccolti nel rispetto di questi limiti, impedendo al datore di lavoro di utilizzare prove raccolte in modo improprio o di cercare conferme di un sospetto esplorando dati archiviati precedentemente.

La protezione della privacy dei lavoratori e dei cittadini rimane una priorità assoluta, e le violazioni sono da sanzionare duramente.

Lo evidenzia un nuovo  recente intervento del Garante per la protezione dei dati personali che ha comminato una sanzione da 17 mila euro per il rilascio di un certificato medico che riportava dettagli sul reparto sanitario responsabile della prestazione e per altre inadempienze.

Vediamo ulteriori dettagli nei prossimi paragrafi

Garante privacy no ai dati sulla salute nei certificati medici

Il caso riguardava una paziente  che aveva segnalato una violazione da parte di un’Azienda Sanitaria Territoriale, colpevole di aver rilasciato un certificato medico che indicava dettagli specifici sul reparto ospedaliero dove era stata erogata la prestazione sanitaria. 

Questi dettagli, come il timbro con la specializzazione del medico o il nome della struttura, costituiscono informazioni potenzialmente riconducibili allo stato di salute della persona, in violazione dei principi fondamentali di protezione dei dati personali. 

Il Garante ha sottolineato che i certificati medici destinati a giustificare un’assenza dal lavoro o l’impossibilità di partecipare a un concorso devono contenere esclusivamente le informazioni strettamente necessarie, senza alcun riferimento che possa rivelare la natura delle condizioni di salute. 

Questa violazione ha portato l’Azienda Sanitaria a ricevere una sanzione amministrativa di 17mila euro.

Certificati medici e Privacy by design: un obbligo, non un’opzione

Oltre alla violazione del principio di minimizzazione dei dati, il Garante ha accertato un mancato rispetto del principio di privacy by design.

Questo principio richiede che, fin dalla progettazione di processi e moduli, vengano adottate misure tecniche e organizzative per garantire la protezione dei dati personali. 

Nel caso specifico, l’Azienda non aveva predisposto adeguati accorgimenti per evitare la diffusione di informazioni sensibili nei certificati medici. 

Nonostante l’intervento del Garante abbia portato l’Azienda a modificare i moduli e a formare il personale sul trattamento dei dati, il ritardo nell’adozione di queste misure ha avuto conseguenze gravi: un numero potenzialmente elevato di pazienti è stato coinvolto per un lungo periodo.

 Inoltre, l’Azienda ha aggravato la situazione non rispondendo tempestivamente alle richieste di informazioni da parte dell’Autorità, incorrendo in ulteriori violazioni del Codice della Privacy. 

Questo caso rappresenta un monito per tutte le organizzazioni sanitarie e non , chiamate a garantire non solo la qualità dei servizi  ma anche il pieno rispetto dei diritti alla riservatezza dei cittadini, pena sanzioni rilevanti e danni alla propria reputazione.

Sanzionato con multa da 120mila euro il datore di lavoro che utilizzava un software di monitoraggio puntuale dell'attività dei dipendenti ( su tempi, modalità di lavorazione e  pause)  , senza adeguata informativa,  e uno strumento per l'accesso  al luogo di lavoro tramite riconoscimento facciale. 

Si tratta del provvedimento del Garante Privacy  338 2024 del 6 giugno 2024.

Vediamo il caso in maggiore dettaglio.

Utilizzo software di controllo e riconoscimento facciale: il caso

A seguito di un reclamo presentato da un dipendente contro il proprio datore di lavoro (una officina meccanica)  per un presunto illecito trattamento dei dati personali dei dipendenti,  l'Autorità Garante per la Protezione dei Dati Personali ha esaminato la documentazione e ha effettuato ispezioni per verificare la conformità della società alle normative vigenti in materia di protezione dei dati.

Il dipendente in particolare evidenziava che erano stati utilizzati  senza un adeguata informativa ai dipendenti :

1. il software "Infinity DMS" per la gestione delle prestazioni lavorative di ciascun lavoratore  e 
2. l'hardware  "X-Face 380" ,  un sistema di riconoscimento facciale,  per il controllo degli accessi sul luogo di lavoro. 

Le ispezioni effettuate presso la società hanno confermato l'uso di questi strumenti e hanno raccolto informazioni dettagliate sul loro funzionamento e finalità.

L'installazione del software considerata  integrata alle attrezzature di lavoro, che raccoglieva e trattava dati personali dei dipendenti senza fornire loro una adeguata informativa, era avvenuta senza accordo con la rappresentanza sindacale.

Sono state quindi accertate  violazioni  in tema di trattamento dei dati personali   sui principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679. 

Software di controllo e dati biometrici vietati: la decisione del Garante Privacy

Per quanto riguarda l'hardware che consente il riconoscimento facciale dei dipendenti, il Garante ha ribadito l'indirizzo  restrittivo già seguito in casi simili:  tali strumenti sono proibiti perché realizzano un trattamento illecito dei dati  biometrici  che appartengono alle categorie di dati  sensibili . 

L'utilizzo è generalmente vietato, salvo quando sia necessario per adempiere obblighi e esercitare diritti specifici in materia di diritto del lavoro e protezione sociale; questa ipotesi  non si verifica nel caso in questione, mentre è giustificata ad esempio per la  compilazione delle buste paga .

 Il Garante sottolinea che, nel contesto del rapporto di lavoro, il consenso espresso dai dipendenti non può essere considerato un valido presupposto di liceità del trattamento, data l'asimmetria tra le rispettive posizioni.

Anche l'utilizzo del software gestionale è stato duramente criticato dall'autorità in quanto il datore di lavoro aveva imposto ai dipendenti, tramite un codice a barre  individuale, la registrazione delle  diverse fasi dell'attività lavorativa, comprese le pause (con la specifica causale). 

L'Autorità ha sottolineato inoltre la mancanza di risposte da parte del datore di lavoro sulla natura e tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, che non ha permesso di valutare l'effettiva necessità e proporzionalità del software rispetto alle finalità da perseguire.

Ancora piu grave il fatto che  tali informazioni non fossero state comunicate nemmeno ai dipendenti,  considerando che nell'ambito del rapporto di lavoro l'obbligo di informare il dipendente è espressione del dovere di correttezza e trasparenza

Controllo dipendenti: le sanzioni previste dal Garante Privacy

Alla luce degli elementi sopra indicati e delle valutazioni effettuate,  è stata irrogata la sanzione amministrativa pari ad euro 120.000,00 (centoventimila).

Inoltre in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali e le condizioni di liceità del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019,  è stata richiesta la pubblicazione in chiaro  del  provvedimento sul sito Internet del Garante.

Infine il Garante ha richiesto alla Società di comunicare le iniziative intraprese  per

• conformare il trattamento dei dati effettuato mediante il software gestionale Infinity DMS alle disposizioni e ai principi generali in materia di trattamento dei dati personali nei termini esposti in motivazione entro 90 giorni dalla data di notifica del provvedimento;
• cessare  il trattamento dei dati biometrici dei dipendenti attraverso il sistema di riconoscimento facciale.

e di fornire comunque riscontro adeguatamente documentato  entro il termine di 90 giorni dalla data di notifica del provvedimento;

L’eventuale mancato riscontro può comportare l’applicazione della ulteriore sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.