Illecita l’intervista sulla salute dei dipendenti dopo una malattia

Il Sole 24 Ore | 13 agosto 2025 | NORME E TRIBUTI | p. 20 | di Giampiero Falasca

Con il provvedimento 390/2025 del 10 luglio, il Garante per la protezione dei dati personali ha sanzionato un’azienda metalmeccanica per avere attuato, fin dal 2020, una prassi gestionale che prevedeva, al rientro da malattia, infortunio o ricovero, un colloquio tra il lavoratore e il proprio responsabile, accompagnato dalla compilazione di un modulo cartaceo –denominato “Return to work interview” – poi trasmesso all’ufficio risorse umane.

Secondo la società, la procedura serviva a favorire il reinserimento del dipendente, individuando eventuali difficoltà organizzative o relazionali. Il Garante, tuttavia, ha riscontrato numerose criticità sotto il profilo della protezione dei dati personali, ravvisando l’illiceità del trattamento e irrogando una sanzione amministrativa pari a 50mila euro, oltre all’ordine di cancellazione dei dati raccolti e al divieto di utilizzo degli stessi, per violazione di alcuni principi cardine del Gdpr (regolamento Ue 2016/679).

Il primo profilo critico, secondo il Garante, concerne l’assenza di un’informativa trasparente e adeguata,in violazione dell’articolo 13 del Gdpr e del principio di trasparenza contenuto nell’articolo 5, paragrafo1, lettera a.

Le scarne indicazioni presenti nel modulo e i rinvii generici a policy aziendali interne non garantivano ai lavoratori una comprensione chiara e immediata dello scopo, delle modalità e dei destinatari del trattamento.

Inoltre, l’espressione «persone presenti» all’interno del modulo, priva di ulteriori precisazioni, lasciava intendere la possibile presenza al colloquio di terzi non indicati esplicitamente. Il secondo rilievo riguarda l’assenza di una base giuridica legittima per il trattamento, in violazione degli articoli 6 e 9 del Gdpr. Il trattamento in questione – comprensivo di dati potenzialmente idonei a rivelare lo stato di salute, come richieste di colloqui con il medico, riferimenti a prescrizioni mediche o commenti liberi del lavoratore –non poteva basarsi né sull’obbligo di tutela della salute del dipendente, fissato in via generale dall’articolo 2087 del Codice civile, né sul consenso che, nel contesto di un rapporto di lavoro, non è di norma considerato libero secondo l’articolo 7 e del considerando 43 del Gdpr.

Inoltre, l’attività svolta dall’azienda non rientrava tra le ipotesi di sorveglianza sanitaria previste dall’articolo 41 del Dlgs 81/2008, spettanza esclusiva del medico competente. Non poteva essere invocato nemmeno il legittimo interesse del datore di lavoro, in quanto inidoneo a fondare il trattamento di dati appartenenti a categorie particolari. Il terzo elemento oggetto di censura consiste nella violazione del principio di minimizzazione, sancito all’articolo 5, paragrafo 1, lettera c, del Gdpr.

Il Garante ha rilevato che molte delle informazioni raccolte tramite il questionario erano ridondanti e duplicavano dati già in possesso dell’ufficio risorse umane (motivo e durata dell’assenza, eventuali prescrizioni ricevute dal medico competente eccetera). La raccolta ulteriore, tramite un colloquio individuale gestito dal responsabile diretto, non era giustificata da reali esigenze organizzative e rischiava di risolversi in forme di trattamento estranee alla valutazione dell’idoneità lavorativa. Il quarto e ultimo punto di censura concerne la conservazione eccessiva dei dati, ritenuta in violazione dell’articolo 5, paragrafo 1, lettera e, del Gdpr. Il termine massimo di dieci anni, previsto dalla policy interna per l’archiviazione dei moduli, è stato ritenuto sproporzionato rispetto alle finalità dichiarate e inidoneo a garantire un’effettiva utela dei diritti degli interessati.

La documentazione restava infatti nella disponibilità dell’azienda ben oltre quanto necessario, senza criteri oggettivi di cancellazione.

Questo caso conferma, ancora una volta, quanto sia delicato il bilanciamento tra esigenze organizzative del datore di lavoro e obblighi in materia di protezione dei dati personali, anche quando esiste - come nella vicenda appena descritta – una buona fede dell’azienda nel proseguimento di finalità protettive (nel caso raccontato, la tutela della salute).

Nella costante prassi applicativa del Garante, la disciplina della privacy non ammette deroghe: ogni trattamento deve essere progettato in anticipo con criteri di liceità, trasparenza e proporzionalità, specie quando si tratta di dati particolari come quelli relativi alla salute. Se vengono violati questi criteri, l’uso improprio dei dati sensibili del personale può trasformarsi in una violazione dei diritti fondamentali.

Chi continua a sottovalutare la ricaduta pratica di questo indirizzo, sicuramente molto rigido ma oggi costante, rischia di andare incontro a spiacevoli sorprese, in termini di sanzioni economiche e ricadute organizzative.