Colloqui post malattia e questionari: sanzione per violazioni della Privacy

Con provvedimento del 10 luglio 2025, il Garante per la protezione dei dati personali ha irrogato una sanzione di 50.000 euro a un’azienda del settore automotive, a seguito di accertate violazioni del Regolamento (UE) 2016/679 (GDPR) nella gestione delle informazioni relative ai dipendenti, incluse quelle riguardanti lo stato di salute.

L’istruttoria è stata avviata a seguito della segnalazione di un’organizzazione sindacale, che ha denunciato una prassi aziendale sistematica: al rientro da periodi di assenza per malattia, infortunio o ricovero, i lavoratori venivano convocati per un colloquio individuale e invitati a compilare un questionario.

Il questionario, predisposto dal diretto responsabile, veniva poi trasmesso all’Ufficio Risorse Umane, che, insieme al responsabile stesso e al medico competente, valutava eventuali misure organizzative o correttive, come la modifica della postazione di lavoro o l’adeguamento delle relazioni professionali.

Durante l’istruttoria, il Garante ha rilevato diverse criticità:

• Assenza di un’adeguata informativa privacy ai lavoratori, in violazione degli artt. 13 e 14 GDPR,
• Mancanza di una valida base giuridica per il trattamento dei dati, compresi quelli appartenenti a categorie particolari (dati sanitari),
• Conservazione sproporzionata dei dati, con archiviazione fino a dieci anni anche in assenza di finalità giustificabili,
• Trattamenti eccedenti e non pertinenti, non direttamente collegati alla valutazione delle capacità professionali o alla tutela della salute e sicurezza sul lavoro.

Alla luce della gravità e della durata delle violazioni, del numero di dipendenti coinvolti e della natura dei dati trattati (inclusi quelli sanitari), il Garante ha disposto:

• il divieto di ulteriori trattamenti illeciti;
• la cancellazione dei dati già raccolti e conservati in modo irregolare;
• l’applicazione della sanzione pecuniaria di 50.000 euro, determinata anche in relazione al fatturato dell’impresa.

Il provvedimento conferma la centralità della corretta gestione dei dati dei lavoratori e richiama l’attenzione delle aziende su alcuni aspetti chiave:

• le informazioni di carattere sanitario possono essere trattate esclusivamente dal medico competente, nei limiti e per le finalità previste dal D.Lgs. 81/2008;
• le funzioni HR e i responsabili aziendali non possono raccogliere o conservare dati sulla salute se non strettamente necessari e giuridicamente fondati;
• ogni trattamento deve essere accompagnato da un’informativa chiara, da una base giuridica adeguata e da tempi di conservazione proporzionati alla finalità perseguita.

Un’errata gestione di questi adempimenti espone l’impresa a conseguenze economiche e reputazionali rilevanti. Per questo, è essenziale implementare procedure di compliance privacy integrate con la gestione delle risorse umane e della sicurezza sul lavoro.