Assenze rese pubbliche: malattia, Legge 104 e permessi, scatta la sanzione per il datore di lavoro

22 settembre 2025

I turni di servizio affissi in bacheca e inviati via e-mail non possono diventare strumenti per violare la privacy dei lavoratori. Lo ha stabilito il Garante per la protezione dei dati personali, che ha sanzionato un’azienda con una multa di 10.000 euro per aver divulgato informazioni sensibili sui propri dipendenti in violazione delle norme europee sulla protezione dei dati personali.

Sigle che rivelano troppo

Il caso riguarda la pubblicazione interna – ma accessibile a tutto il personale – di tabelle dei turni contenenti sigle come “MAL”, “104”, “INF”, “AVIS” e altre ancora, usate per indicare la causa dell’assenza dei lavoratori: malattia, permessi per assistenza a disabili, infortunio, donazione sangue. Secondo il Garante, queste abbreviazioni, pur sintetiche, rendevano comunque identificabili dati personali appartenenti a categorie particolari, come quelli relativi alla salute o all’appartenenza sindacale.

Informazioni che, seppur diffuse solo all’interno dell’azienda, sono state considerate illecitamente “comunicate” a soggetti non autorizzati. Il fatto che fossero accessibili a tutti i colleghi, infatti, ha configurato una violazione dei principi di minimizzazione, liceità e proporzionalità del trattamento.

La tutela dei dati va oltre il buon senso aziendale

L’azienda, chiamata a fornire spiegazioni, ha sostenuto che l’utilizzo delle sigle fosse finalizzato a evitare favoritismi nei turni e a gestire meglio le sostituzioni. Ha inoltre affermato che i dati non erano visibili al pubblico ma solo ai dipendenti. Tuttavia, per l’Autorità queste motivazioni non giustificano la diffusione di dettagli riservati a personale non autorizzato.

Il datore di lavoro può trattare dati sensibili dei dipendenti solo nei limiti di ciò che è strettamente necessario per la gestione del rapporto di lavoro, e comunque nel rispetto del principio di riservatezza. Le informazioni sulle cause delle assenze – ha sottolineato il Garante – non sono indispensabili per la semplice pianificazione dei turni.

Correzione tardiva, ma apprezzata

Nel corso dell’istruttoria, l’azienda ha modificato la sua prassi, rimuovendo tutte le sigle e sostituendole con la generica lettera “A” per indicare un’assenza, senza ulteriori dettagli. Un gesto che ha evitato provvedimenti correttivi più pesanti, ma che non ha escluso la sanzione amministrativa per la violazione già commessa.

Un precedente che fa scuola

Con questa decisione, il Garante ribadisce un principio fondamentale: la privacy dei dipendenti è un diritto, non una concessione. Non è ammissibile che informazioni relative alla salute o alla vita privata dei lavoratori vengano indirettamente divulgate, anche in ambienti ristretti come quelli aziendali. La conoscenza di questi dati deve essere riservata esclusivamente a chi ne ha bisogno per motivi di servizio, e sempre nel rispetto della normativa.

La sanzione, determinata sulla base della gravità della violazione e del fatturato dell’azienda, è stata accompagnata dalla pubblicazione ufficiale del provvedimento sul sito del Garante, proprio per sottolinearne l’importanza e offrire un orientamento chiaro a tutte le realtà organizzative, pubbliche e private.

Privacy sul lavoro: non è un’opzione

Questa vicenda evidenzia quanto sia ancora fragile, in alcuni contesti, la cultura della privacy sul posto di lavoro. L’efficienza organizzativa non può scavalcare il diritto dei lavoratori alla protezione delle proprie informazioni personali.

Una lezione che vale per tutti: nessun collega dovrebbe sapere, anche solo per sigle, perché un altro è assente. E nessun sistema organizzativo, per quanto consolidato, può legittimare una prassi che espone dati sensibili alla curiosità – o al giudizio – altrui.