Illecita l’intervista fatta ai dipendenti dopo una malattia
Vietato intervistare il dipendente che rientra dalla malattia per capire se ci sono delle difficoltà nel suo reinserimento lavorativo.
Con il provvedimento 390/2025 del 10 luglio, il Garante per la protezione dei dati personali ha sanzionato un’azienda metalmeccanica per avere attuato, fin dal 2020, una prassi gestionale che prevedeva, al rientro da malattia, infortunio o ricovero, un colloquio tra il lavoratore e il proprio responsabile, accompagnato dalla compilazione di un modulo cartaceo – denominato “Return to work interview” – poi trasmesso all’ufficio risorse umane.
Secondo la società, la procedura serviva a favorire il reinserimento del dipendente, individuando eventuali difficoltà organizzative o relazionali. Il Garante, tuttavia, ha riscontrato numerose criticità sotto il profilo della protezione dei dati personali, ravvisando l’illiceità del trattamento e irrogando una sanzione amministrativa pari a 50mila euro, oltre all’ordine di cancellazione dei dati raccolti e al divieto di utilizzo degli stessi, per violazione di alcuni principi cardine del Gdpr (regolamento Ue 2016/679).
Le quattro criticità
Il primo profilo critico, secondo il Garante, concerne l’assenza di un’informativa trasparente e adeguata, in violazione dell’articolo 13 del Gdpr e del principio di trasparenza contenuto nell’articolo 5, paragrafo 1, lettera a. Le scarne indicazioni presenti nel modulo e i rinvii generici a policy aziendali interne non garantivano ai lavoratori una comprensione chiara e immediata dello scopo, delle modalità e dei destinatari del trattamento. Inoltre, l’espressione «persone presenti» all’interno del modulo, priva di ulteriori precisazioni, lasciava intendere la possibile presenza al colloquio di terzi non indicati esplicitamente.
Il secondo rilievo riguarda l’assenza di una base giuridica legittima per il trattamento, in violazione degli articoli 6 e 9 del Gdpr. Il trattamento in questione – comprensivo di dati potenzialmente idonei a rivelare lo stato di salute, come richieste di colloqui con il medico, riferimenti a prescrizioni mediche o commenti liberi del lavoratore – non poteva basarsi né sull’obbligo di tutela della salute del dipendente, fissato in via generale dall’articolo 2087 del Codice civile, né sul consenso che, nel contesto di un rapporto di lavoro, non è di norma considerato libero secondo l’articolo 7 e del considerando 43 del Gdpr. Inoltre, l’attività svolta dall’azienda non rientrava tra le ipotesi di sorveglianza sanitaria previste dall’articolo 41 del Dlgs 81/2008, spettanza esclusiva del medico competente. Non poteva essere invocato nemmeno il legittimo interesse del datore di lavoro, in quanto inidoneo a fondare il trattamento di dati appartenenti a categorie particolari.
Fonte: Il Sole 24 Ore
