Questionari post-malattia: interviene il Garante

Standard Essential Patents

Con provvedimento n. 390 del 10 luglio 2025, il Garante per la protezione dei dati personali ha irrogato una sanzione amministrativa pecuniaria pari a euro 50.000 nei confronti di una società operante nel settore automotive, a seguito di una segnalazione presentata da un’organizzazione sindacale. La denuncia riguardava una prassi aziendale diffusa, consistente nella sottoposizione dei lavoratori, al rientro da periodi di assenza per malattia, infortunio o ricovero, ad un colloquio individuale corredato da un questionario.

Tale documento, compilato dal diretto superiore gerarchico del lavoratore, veniva trasmesso all’Ufficio Risorse Umane e valutato congiuntamente a quest’ultimo e, ove necessario, al medico competente. Le finalità dichiarate erano: (i) individuare eventuali modifiche alla postazione di lavoro, (ii) intervenire sulle dinamiche relazionali, (iii) adottare iniziative asseritamente orientate alla tutela della salute del lavoratore.

Esiti dell’istruttoria

Nel corso dell’istruttoria l’Autorità ha riscontrato una serie di violazioni sostanziali e procedurali delle disposizioni contenute nel Regolamento (UE) 2016/679 (GDPR).

1. Assenza di informativa adeguata

È emersa la mancata fornitura di un’informativa chiara, completa e trasparente ai sensi dell’art. 13 GDPR, idonea a rendere edotti i lavoratori circa la natura, le finalità e le modalità del trattamento, nonché sui diritti loro spettanti. Tale omissione assume particolare rilievo in quanto il trattamento aveva ad oggetto categorie particolari di dati, ai sensi dell’art. 9 GDPR, nello specifico dati relativi alla salute.

2. Inesistenza di una base giuridica legittimante

Il trattamento non risultava fondato su alcuna base giuridica idonea. Non sussisteva un consenso valido, né era dimostrabile la ricorrenza di una delle ipotesi derogatorie previste dall’art. 9, par. 2 GDPR. Ciò ha comportato la qualificazione del trattamento come illecito sotto il profilo della legittimità sostanziale.

3. Violazione dei principi di pertinenza, minimizzazione e limitazione della conservazione

L’Autorità ha accertato che l’azienda conservava dati eccedenti e non pertinenti rispetto alle finalità dichiarate, includendo informazioni non necessarie per valutare l’idoneità professionale del lavoratore o per disporre eventuali accomodamenti organizzativi. La durata della conservazione è risultata sproporzionata, raggiungendo in taluni casi i dieci anni, in violazione dell’art. 5, par. 1, lett. e) GDPR, che impone la conservazione per un arco temporale non superiore a quello necessario.

4. Trattamento sproporzionato e non necessario

Le modalità di raccolta e valutazione dei dati si sono rivelate non conformi al principio di minimizzazione di cui all’art. 5, par. 1, lett. c) GDPR, in quanto implicavano un’ingerenza eccessiva nella sfera privata e sanitaria dei lavoratori, senza un nesso di necessità rispetto alle finalità legittime dichiarate.

Misure correttive e sanzionatorie

Alla luce delle violazioni riscontrate, il Garante ha disposto:

  1. Il divieto di proseguire il trattamento dei dati mediante il sistema dei colloqui e questionari post-assenza;

  2. La cancellazione dei dati già raccolti e archiviati attraverso tale procedura;

  3. L’applicazione della sanzione pecuniaria di euro 50.000, determinata in base ai criteri di cui all’art. 83 GDPR.

Elementi di valutazione della gravità

Nella determinazione dell’ammontare della sanzione, l’Autorità ha tenuto conto:

  • della gravità intrinseca delle violazioni, attesa la natura sensibile dei dati trattati;

  • della durata prolungata della prassi;

  • dell’ampiezza della platea di interessati, pari a circa 890 dipendenti;

  • del fatturato dell’azienda, quale indice di capacità economica e quindi parametro per l’effettività e dissuasività della sanzione.

Considerazioni sistematiche

La vicenda conferma l’attenzione del Garante verso le prassi aziendali che, pur dichiarandosi finalizzate alla tutela della salute e sicurezza sul lavoro, sconfinano in un trattamento non proporzionato e non giustificato di dati sanitari. L’Autorità ribadisce che:

  • l’adozione di procedure interne di monitoraggio dello stato di salute del personale deve avvenire nel rigoroso rispetto del quadro normativo di riferimento;

  • la trasparenza informativa costituisce un presupposto essenziale di liceità;

  • il principio di minimizzazione impone di limitare i dati trattati a quelli strettamente necessari;

  • i tempi di conservazione devono essere giustificati e documentati.

Il caso assume rilievo anche quale esempio di efficacia delle segnalazioni sindacali nel promuovere il controllo di legalità sul trattamento dei dati personali in ambito lavorativo, nonché quale monito alle imprese circa la necessità di conciliare esigenze organizzative e di salute e sicurezza con le garanzie poste dal GDPR.

author avatar
Giovanni Maria Riccio

Potrebbe interessarti

pam-sam-1-640×360-c
Suggerimenti di lettura: Pamela Samuelson, Legally Speaking: Does Using In-Copyright Works as Training Data Infringe?
7 Agosto, 2025
785681a9-3a72-4e62-90e8-c9b8245739df
TEMU viola il Digital Services Act?
29 Luglio, 2025
wind-power-plant-1464094145CS9
La vulnerabilità del consumatore energetico
28 Luglio, 2025

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Istituto per le Politiche dell'Innovazione