Quando la prevenzione viola la privacy: il caso sanzionato dal Garante

I dati legati alla salute dei lavoratori non possono essere trattati senza una profonda consapevolezza dei limiti legislativi che li caratterizzano, ed ogni misura migliorativa in tale ottica deve essere stabilita dal Datore di Lavoro esclusivamente tramite l’applicazione dei suoi compiti ed obblighi sanciti dalla normativa, intervenendo, piuttosto, nella prevenzione degli eventi infortunistici tramite un’accurata valutazione dei rischi presenti nella propria azienda. 

Ne è un esempio il Provvedimento del 10 luglio 2025 del Garante per la Protezione dei Dati Personali (consultabile integralmente QUI),che tratta il caso di una società che sottoponeva questionari e colloqui investigativi ai propri dipendenti rientranti da assenze per infortunio/malattia professionale, con il fine di indagare su potenziali fonti di rischio presenti nel luogo di lavoro ed intervenire per correggerle. Nonostante le buone intenzioni da parte del Datore di Lavoro, questa attività è stata ritenuta non conforme ad articoli sia del Regolamento (UE) n. 2016/679(GDPR) sia del d.lgs. n. 196/2003 (Codice della Privacy) e s.m.i., nello specifico:

1. I dati relativi alla salute dei dipendenti rientrano nella categoria di quelli tutelati in modo particolare dal GDPR (art. 9, c. 1), che ne sancisce il divieto di trattamento, salvo casi eccezionali: il comportamento del Datore di Lavoro in questo caso (per esempio, ponendo domande come “l’eventuale problema di salute che hai è     peggiorato negli ultimi anni?”) risulta quindi illecito, violando sia l’art. 9 (c. 1) sia l’art. 5 (c. 1, lett. a) del Regolamento;
2. Il consenso esplicito da parte del dipendente avrebbe reso possibile il trattamento dei dati sanitari da parte del Datore di Lavoro, ma l’informativa sulla privacy che accompagnava i questionari risultava non idonea né esaustiva, ledendo sia la correttezza che la trasparenza del trattamento (art. 5, c.1), e configurando la violazione degli artt. 13 e 7 del GDPR;
3. Il trattamento dei dati richiesti non era necessario all’esecuzione del contratto, né era rilevante ai fini della valutazione dell’attitudine professionale del lavoratore, violando le disposizioni dell’art. 6 (c. 1, lett. b) del GDPR e dell’art. 113 (c. 1) del Codice;
4. Sono stati inoltre violati i principi di minimizzazione e limitazione della conservazione dei dati trattati (art. 5, c. 1, lett. c ed e del GDPR);
5. Spostandosi sul d.lgs. 81/2008, il Garante ha rilevato che le attività in questione non rientrassero tra gli obblighi del Datore di Lavoro in materia di salute e sicurezza (artt. 17 e 18), e che l’unico soggetto legittimato a trattare i dati personali di natura sanitaria dei dipendenti sia il Medico Competente, nell’ambito dello svolgimento delle attività di cui all’art. 41.

Di conseguenza, il Garante ha stabilito che, nell’ambito del rapporto di lavoro, i dati appartenenti a categorie particolari non possano essere trattati nemmeno sulla base del legittimo interesse da parte del Datore di Lavoro, figurando quindi una violazione di livello medio delle normative e sancendo, infine, il divieto del trattamento dei dati raccolti illecitamente, la cancellazione di quelli già acquisiti e l’irrogazione di una sanzione amministrativa pecuniaria di 50.000 euro per la società.