Il Garante per la protezione dei dati personali, con la Newsletter n. 537 del 1° agosto 2025, ha reso noto che il trattamento dei dati relativi alla salute dei dipendenti deve avvenire nel rispetto del Regolamento UE/2016/679.

Nel caso posto all’attenzione dell’Autorità a tutela della privacy, un sindacato ha evidenziato una pratica diffusa all’interno dell’azienda: dopo le assenze per malattia, infortunio o ricovero, i lavoratori venivano sottoposti a un colloquio accompagnato da un questionario. Il documento, compilato da un diretto responsabile, veniva poi trasmesso all’Ufficio Risorse Umane che con il responsabile e/o con il medico competente valutava, in base a quanto rappresentato dall’azienda, eventuali iniziative a tutela della salute dei lavoratori, ad esempio modificando la postazione di lavoro o intervenendo sulle relazioni lavorative.

Però durante l’istruttoria sono state riscontrate numerose violazioni del Regolamento UE (GDPR), tra cui l’assenza di un’informativa chiara e trasparente ai dipendenti e la mancanza di una base giuridica per il trattamento dei dati, anche relativi alla salute. L’Autorità ha inoltre ravvisato una conservazione di dati dei lavoratori non pertinenti (nel caso di assenze dal lavoro) e sproporzionati (fino a dieci anni), e un trattamento di dati non rilevante per valutare le capacità professionali del personale.

Il Garante ha dunque ordinato all’azienda il divieto del trattamento dei dati e la cancellazione di quelli già raccolti e conservati. Nel comminare la sanzione di 50 mila euro, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, del fatto che il trattamento abbia riguardato anche dati sulla salute, del numero di dipendenti coinvolti (circa 890) e del fatturato dell’azienda.