COMMENTO
DI DANIELE BONADDIO | 1 OTTOBRE 2025
Con il Provvedimento n. 363 del 23 giugno 2025, il Garante per la Protezione dei Dati Personali ha accertato un trattamento illecito di dati personali da parte della società SATI S.p.A. – Società Autocooperative Trasporti Italiani, comminando una sanzione amministrativa di 10.000 euro per violazione degli articoli 5 e 9 del Regolamento UE 2016/679.
La violazione riguarda la diffusione di dati sensibili dei dipendenti, come le cause delle assenze dal lavoro (malattia, infortunio, permessi ex Legge 104, permessi sindacali, ecc.), rese pubbliche attraverso l’affissione dei turni con acronimi identificativi nelle bacheche aziendali e tramite e-mail interne.
Premessa
Il procedimento trae origine da un reclamo presentato dalla FAISA Cisal Molise su mandato di alcuni dipendenti della società SATI S.p.A., operante nel settore dei trasporti pubblici. Oggetto del reclamo: la pubblicazione e diffusione, all’interno dell’azienda, di informazioni personali e sensibili riguardanti le cause di assenza dei dipendenti, indicate con sigle come “MAL”, “INF”, “104”, “SOSP”, “PS” e così via, che sarebbero state rese visibili a tutto il personale aziendale.
L’utilizzo di tali sigle è stato considerato lesivo della riservatezza dei lavoratori, configurando una violazione del principio di minimizzazione dei dati e del trattamento lecito dei dati sensibili previsto dalla normativa europea e nazionale in materia di protezione dei dati personali.
Il reclamo e l’istruttoria
Il Garante, ricevuto il reclamo regolarmente presentato e perfezionato tra settembre 2023 e gennaio 2024, ha avviato una istruttoria approfondita.
La SATI S.p.A., nella propria difesa, ha sostenuto che:
– le sigle erano usate per gestire correttamente i turni settimanali e prevenire malintesi tra i lavoratori;
– le informazioni erano accessibili solo ai dipendenti e non al pubblico esterno;
– la prassi derivava da esigenze organizzative e contrattuali;
– in ogni caso, la società aveva già rimosso le sigle, sostituendole con la generica lettera “A” per “assenza”.
Ciononostante, il Garante ha ritenuto che le sigle, pur sintetiche, permettevano l’identificazione indiretta di dati sensibilicome lo stato di salute, l’adesione sindacale o situazioni disciplinari, e che la loro diffusione non era giustificata né necessaria ai fini dell’organizzazione aziendale.
Le violazioni accertate
L’Autorità ha ritenuto la SATI responsabile di una comunicazione illecita di dati personali, violando:
- l’art. 5 del Regolamento (principi di minimizzazione, liceità e trasparenza);
- l’art. 9 del Regolamento (divieto di trattamento di dati sensibili, salvo specifiche condizioni).
Nel provvedimento, si evidenzia come:
– la semplice affissione in luoghi riservati non basta a escludere la comunicazione illecita, poiché i dati erano comunque accessibili a soggetti non autorizzati al trattamento (cioè altri colleghi);
– l’indicazione delle cause dell’assenza non era strettamente necessaria per l’esecuzione delle turnazioni e poteva essere sostituita da informazioni più generiche;
– la norma invocata dalla società (art. 10 Legge n. 138/1958) obbliga all’affissione dei turni, ma non autorizza la comunicazione delle motivazioni delle assenze.
La decisione del Garante
Il Garante ha riconosciuto che la società, pur essendosi successivamente adeguata, ha violato i diritti dei dipendenti e ha proceduto con l’adozione di un’ordinanza ingiunzione con la quale ha:
- accertato l’illiceità del trattamento dei dati personali da parte della società;
- applicato una sanzione amministrativa di 10.000 euro, ritenuta proporzionata alla violazione e dissuasiva;
- disposto la pubblicazione del provvedimento sul sito dell’Autorità, trattandosi di trattamento illecito di dati particolari.
La società ha comunque la possibilità di definire il procedimento in via agevolata versando la metà della sanzione entro i termini di legge, oppure di proporre opposizione dinanzi all’autorità giudiziaria ordinaria entro 30 giorni (60 se residente all’estero).
Riferimenti normativi:
- Legge 14 febbraio 1958, n. 138, art. 10
- D.Lgs. 30 giugno 2003, n. 196
- Regolamento UE 27 aprile 2016, n. 2016/679, artt. 5 , 9 e 83
- D.Lgs. 10 agosto 2018, n. 101
- Linee guida del Garante in materia di rapporto di lavoro (23 novembre 2006 e 14 giugno 2007)
- Garante Privacy, Provvedimento n. 341/2014 (doc. web 3325317)
- Garante Privacy, Provvedimento n. 105/2020 (doc. web 9444865)
- Garante Privacy, Provvedimento n. 363/2025 (doc. web 10161545)
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.