di Stefano MANINA
Rendere pubblici attraverso l’ordine di servizio dati personali anche di natura sensibile derivati e relativi ai motivi dell’assenza dal lavoro di un dipendente può costare caro al datore di lavoro in quanto può costituire violazione della privacy.
Questo è quello che ha sancito il Garante per la protezione dei dati personali, con il provvedimento n. 363 del 23 giugno 2025, che ha sanzionato una società.
Ma con tutta evidenza il concetto può essere traslato anche in una Pubblica Amministrazione e, parlando di ordine di servizio, non può che venire in mente il brogliaccio cartaceo o elettronico che sia con riportati i turni e gli ordini di servizio della polizia locale di norma a firma del Comandante del Corpo.
Nell’occhio del ciclone del Garante sono finite in particolare le informazioni relative ai motivi delle assenze, anche se indicate mediante sigle sintetiche ma comunque assolutamente in grado di rendere pubblico all’interessato ma anche ai colleghi la causa di assenza del lavoratore.
Nel caso di specie l’ordine di servizio riportava le indicazioni (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, l. n. 104/1992”, “SOSP” in luogo di sospensione/sanzione disciplinare, ecc.) che venivano rese disponibili a tutti i dipendenti, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.
La vicenda è sorta a seguito di un reclamo inoltrato al Garante da un sindacato su mandato di alcuni dipendenti che lamentava un illecito trattamento di dati personali, da parte della Società, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.
La Società interessata ha provato a giustificarsi evidenziando quanto segue.
Tale prassi ERA prevista ai sensi e per gli effetti dell’art. 10 della legge n. 138 del 1958 a titolo di trasparenza per informare tutti i lavoratori che l’azienda non adotta alcun trattamento di favore nel predisporre la turnazione.
I turni, con l’inserimento di sigle o acronimi, venivano affissi in luoghi non accessibili al pubblico e quindi senza alcuna diffusione a terzi non legittimati”;
le sigle incriminate erano riferite non alle assenze programmate, bensì a quelle sopravvenute che determinano una rimodulazione del turno di servizio settimanale.
Il loro inserimento per tale ragione è stato ritenuto necessario in quanto incide sulla gestione del rapporto di lavoro con gli altri dipendenti chiamati ad effettuare le sostituzioni.
L’inserimento delle sigle nei turni di servizio è giustificato altresì dall’esigenza di evitare conflitti
all’interno dell’azienda in modo da consentire un corretto andamento del servizio”;
In ottemperanza alle linee guida in materia di trattamento dei dati personali dei lavoratori per finalità di gestione del rapporto di lavoro del 23 novembre 2006, tali informazioni vengono fornite, così come in precedenza indicato, solo per dare esecuzione ad obblighi derivanti dal contratto di lavoro”.
La Società comunicava inoltre di aver provveduto a eleminare tutte le abbreviazioni e gli acronimi oggetto di reclamo, inserendo la sola lettera A per indicare genericamente l’assenza, “così uniformandosi alle prescrizioni richieste al solo fine di evitare contenziosi”.
Il Garante ha accertato che:
la Società, in qualità di titolare del trattamento, ha effettuato un trattamento di dati personali e particolari, riferiti ai propri dipendenti, in violazione della disciplina in materia di protezione dei dati personali, mediante l’affissione nelle bacheche aziendali e l’invio di e-mail dei turni di servizio recanti le specifiche causali delle assenze.
Ciò tenuto anche conto che le sigle sintetiche utilizzate per ciascuna causale d’assenza sono idonee a far conoscere dati personali, anche sensibili, riferiti ai propri dipendenti.
Tali circostanze fanno sì che i dati personali in esame sono stati resi disponibili e conoscibili a un ampio numero di soggetti non legittimati a conoscerli, individuato nel personale direttamente coinvolto nel servizio di trasporto, configurandosi così una “comunicazione” illecita di dati personali, ai sensi dell’art. 2, comma 4, del Codice.
Pertanto i lavoratori non sono certamente legittimati a trattare informazioni di dettaglio sulle assenze dei colleghi.
Il trattamento dei dati cd. particolari effettuato dalla Società, consistente specificamente nella comunicazione di dati relativi alle cause dell’assenza da lavoro, risulta illecito, in quanto avvenuto in assenza di un idoneo presupposto di liceità di cui all’art. 9, par. 2, del Regolamento e in violazione dei principi base dell’ordinamento.
Secondo il Garante la società ha violato quindi gli artt. 5, par. 1, lett. c) e 9, par. 2, del Regolamento che comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a), del Regolamento comminando alla Società la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila).
Di seguito il provvedimento GPDP n. 363 del 23 giugno 2025,
