Un’azienda del settore automotive dovrà pagare 50mila euro di sanzione per aver raccolto in modo scorretto dati personali e informazioni sulla salute dei propri dipendenti.
La pratica incriminata? Al rientro da malattia, infortunio o ricovero, i lavoratori venivano convocati per un colloquio con il proprio responsabile. Durante l’incontro, veniva compilato un questionario con domande anche sullo stato di salute. Quel documento finiva poi all’Ufficio Risorse Umane, che lo esaminava insieme al responsabile e, in certi casi, al medico competente, per decidere eventuali modifiche alla postazione o all’organizzazione del lavoro.
Perché è stata considerata una violazione
Il Garante per la protezione dei dati personali ha accertato che questa prassi violava diverse regole del Regolamento europeo sulla privacy (GDPR):
- I lavoratori non ricevevano un’informativa chiara su come sarebbero stati usati i loro dati.
- Non esisteva una base legale per raccogliere e trattare quelle informazioni, soprattutto quelle sulla salute, che sono dati “sensibili”.
- I questionari contenevano dati non necessari e, in alcuni casi, già noti all’azienda.
- I moduli venivano conservati per un tempo eccessivo: fino a 10 anni.
Leggi anche: Smart Working: vietata la geolocalizzazione dei lavoratori. Ecco cosa dice il Garante Privacy
Un esempio per capire meglio
Immagina di essere un dipendente che torna in ufficio dopo un’influenza di una settimana. Ti chiamano nell’ufficio del tuo capo, che inizia a farti domande scritte e orali: di cosa ti sei ammalato, quali sintomi hai avuto, se ritieni di avere problemi a lavorare con certi colleghi o in certe condizioni.
Poi quel foglio viene archiviato e conservato per anni. Non ti hanno spiegato in anticipo come useranno le informazioni, né ti hanno dato la possibilità di rifiutare senza conseguenze.
Ecco: secondo il Garante, questa è una violazione della privacy, perché i dati sulla salute possono essere trattati solo dal medico competente e in casi ben precisi.
Le conseguenze per l’azienda
Oltre alla multa, il Garante ha imposto:
- Lo stop immediato a questo tipo di questionari.
- La cancellazione di tutti i dati raccolti finora.
- L’obbligo di rivedere le procedure interne per essere in regola con il GDPR.
Nel valutare la sanzione, l’Autorità ha considerato la gravità della violazione, la durata della pratica, il fatto che fossero coinvolti quasi 900 dipendenti e che si trattasse di dati sanitari.
Leggi anche: Il datore non può spiare le tue chat private: sanzione record ad Autostrade
Consigli pratici per le aziende
Per evitare errori simili, chi gestisce personale dovrebbe:
- Informare sempre i dipendenti su come verranno usati i loro dati e per quanto tempo.
- Limitarsi a raccogliere solo le informazioni strettamente necessarie.
- Non trattare direttamente dati sulla salute: questi sono di competenza del medico competente.
- Conservare i dati solo per il tempo indispensabile e poi cancellarli.
- Formare responsabili e HR su privacy e GDPR.
In poche parole, ogni volta che si pensa di introdurre un modulo, un questionario o una procedura interna, bisogna chiedersi: “Serve davvero questa informazione? È legale raccoglierla? La sto proteggendo in modo corretto?”.
Fonte ufficiale e documento integrale
Le informazioni riportate in questo articolo sono tratte dal provvedimento ufficiale pubblicato dal Garante per la protezione dei dati personali e disponibile sul sito istituzionale all’indirizzo:
Per approfondire e consultare tutti i dettagli, è possibile leggere il testo integrale della sanzione applicata all’azienda, disponibile qui in formato PDF:
📄 Scarica il provvedimento completo del Garante Privacy (PDF)
Garante Privacy, Provvedimento del 10 luglio 2025 n. 10154148 (81,3 KiB, 17 hits)
Rimani aggiornato seguendoci su Google News!
