Il Garante per la protezione dei dati personali ha sanzionato un’importante azienda del settore automotive, a seguito di una segnalazione sindacale che ha portato alla luce una gestione non conforme dei dati personali e sanitari dei lavoratori.

Il caso solleva importanti questioni su trasparenza, base giuridica e conservazione dei dati in ambito HR.

Ecco le principali violazioni del Gdpr e del Codice privacy riscontrate, suddivise per principio

Questionari post-malattia: il provvedimento del Garante privacy

Una prassi aziendale apparentemente improntata al benessere organizzativo ha finito per travalicare i limiti imposti dal Gdpr e dal Codice privacy.

Con provvedimento del 25 luglio 2025, il Garante per la protezione dei dati personali ha sanzionato Magna PT S.p.A., società del settore automotive, per
illecito trattamento dei dati personali dei lavoratori attraverso questionari compilati al rientro da assenze per malattia, infortunio o ricovero.
La sanzione amministrativa è pari a 50mila euro. Ma il provvedimento ha anche disposto il divieto del trattamento e la cancellazione dei dati raccolti.

La segnalazione sindacale

Tutto parte da una segnalazione sindacale in cui si denuncia che i dipendenti della società, azienda del settore automotive, sarebbero stati sottoposti a un “colloquio di rientro” accompagnato dalla compilazione di un modulo/questionario in caso di assenza per malattia, infortunio o ricovero.

Il questionario veniva poi trasmesso alle Risorse umane per valutazioni congiunte con il responsabile e/o il medico competente.
L’attività istruttoria del Garante ha accertato che questa prassi, pur dichiaratamente orientata alla tutela della salute dei lavoratori, ha comportato una gestione illecita di dati personali, compresi quelli sanitari, violando i principi cardine del Regolamento generale sulla protezione dei dati.

In particolare, l’istruttoria del Garante ha evidenziato molteplici criticità in materia di protezione dati personali:

• l’assenza di un’informativa chiara e trasparente ai lavoratori;
• la mancanza di una base giuridica adeguata per il trattamento dei dati sanitari;
• la conservazione eccessiva (fino a dieci anni) di informazioni non pertinenti e sproporzionate rispetto allo scopo dichiarato.

Le difese della società

Secondo quanto dichiarato dalla società l’utilizzo di tale modulo (Return to work interview, Rtwi ovvero colloquio di rientro al lavoro) rientrerebbe in una normale prassi gestionale, finalizzata a favorire il reinserimento del lavoratore e garantire ambienti di lavoro sicuri, anche sul piano psico-sociale.

Strumento organizzativo e non sanitario

L’azienda ha sostenuto che il modulo non raccoglieva dati sanitari né obbligava i lavoratori a riferire patologie o diagnosi.

Lo strumento avrebbe avuto una funzione meramente preventiva, di ascolto, inserita in un contesto di policy aziendali sulla salute e sicurezza pienamente conformi alla normativa vigente.
Inoltre, l’informativa veniva resa disponibile tramite i portali interni e, a partire dal 2021, era anche stampata in calce al modulo.
L’intervista, secondo la società, non mirava a valutazioni sanitarie, ma intendeva “intercettare eventuali situazioni di difficoltà” e favorire un supporto tempestivo al lavoratore.

La salute come obbligo dinamico

Una parte rilevante delle deduzioni difensive ha riguardato il fondamento giuridico del trattamento.

La Società ha richiamato l’art. 2087 c.c., sostenendo che l’obbligo del datore di lavoro alla tutela della salute e sicurezza debba essere inteso in senso dinamico, come dovere di prevenzione continua, non limitato al solo rispetto di obblighi espressi.
In quest’ottica, la salute non coinciderebbe solo con l’assenza di malattia, ma con il “benessere psico-fisico e sociale” del lavoratore (richiamando la definizione contenuta nel d.lgs. 81/2008).

Il modulo Rtwi

Di conseguenza, strumenti organizzativi come il modulo Rtwi sarebbero funzionali ad adempiere a tale obbligo esteso, consentendo al datore di lavoro di cogliere segnali precoci di disagio che una semplice visita medica non sarebbe in grado di rilevare.

In particolare, la società ha parlato di un “lavoro di cura” da parte del datore di lavoro, necessario per prevenire il malessere individuale e collettivo, specie in un contesto sociale e produttivo sempre più complesso e ad alta intensità tecnologica.

Questionari post-malatti: il punto di vista dell’Autorità Garante

L’Autorità Garante ha analizzato la condotta della Società relativa alla compilazione del modulo Rtwi da parte del responsabile nei confronti del lavoratore rientrante dopo un’assenza per malattia, infortunio o ricovero. Dall’esame è emerso che tale trattamento di dati personali presenta numerose criticità e violazioni rispetto ai principi fondamentali previsti dal Regolamento europeo sulla protezione dei dati (Gdpr) e dal Codice privacy nazionale. Ecco quali.

Violazione del principio di trasparenza

La società non ha fornito agli interessati un’informativa adeguata e completa come previsto dall’art. 13 del Regolamento.

Le poche indicazioni presenti nei moduli Rtwi, anche nelle versioni più recenti, non sono esaustive né chiare, in particolare l’indicazione delle “persone presenti” al colloquio risulta ambigua e potenzialmente fuorviante.

Non si rinvengono informazioni specifiche sul trattamento neppure nei documenti aziendali quali l’informativa per i dipendenti, il manuale sulla protezione dei dati o la Policy protezione dei dati personali.

La mancanza di trasparenza impedisce agli interessati di essere pienamente consapevoli delle modalità e delle finalità del trattamento.

Violazione del principio di liceità

La società ha trattato dati personali, inclusi dati particolari relativi alla salute, senza una valida base giuridica ai sensi degli articoli 6 e 9 del Gdpr.

Il trattamento non rientra nella sorveglianza sanitaria, di esclusiva competenza del medico competente, né è giustificato dal consenso o dal legittimo interesse in modo corretto e specifico.

L’eventuale invocazione dell’art. 2087 c.c. non può sostituire una valutazione puntuale e preventiva della liceità del trattamento, che resta presupposto imprescindibile per ogni attività di trattamento dati.

Violazione del principio di minimizzazione

I dati raccolti tramite il modulo Rtwi risultano non pertinenti rispetto all’attività di gestione delle assenze e alla tutela della salute e sicurezza nei luoghi di lavoro. Molte informazioni richieste sono già in possesso dell’ufficio risorse umane e la loro acquisizione duplicata non è giustificata da un’esigenza specifica, determinando una raccolta superflua e non proporzionata di dati, anche appartenenti a categorie particolari.

Ciò contrasta con il principio di minimizzazione previsto dal Gdpr.

Violazione del principio di limitazione della conservazione

La società dichiara di conservare i moduli compilati fino a dieci anni, sebbene di fatto vengano cancellati prima e attualmente non siano conservati moduli antecedenti al 2023.

Il termine di dieci anni appare comunque sproporzionato rispetto alla natura e alle finalità del trattamento, e non sono stati chiariti criteri precisi per la determinazione del periodo di conservazione né le modalità di cancellazione.

La mancanza di trasparenza e precisione su questo punto configura una violazione dell’art. 5, par. 1, lett. e) del Regolamento, che impone di conservare i dati personali solo per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti.

Trattamento di dati non pertinenti

La società ha trattato e tratta ancora dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, in violazione dell’art. 113 del Codice privacy, che richiede il rispetto di norme specifiche per il trattamento dei dati dei dipendenti.

Nel modulo Rtwi sono presenti domande che inducono a raccogliere informazioni relative a situazioni di disagio personale o ambientale non pertinenti rispetto all’assenza per malattia, infortunio o ricovero e non rilevanti per la valutazione professionale.

Tale condotta, anche se non sfocia nell’utilizzo effettivo dei dati, costituisce illecito per la mera acquisizione e conservazione, come chiarito dalla giurisprudenza.

Conseguenze e prescrizioni

Il Garante ha quindi imposto il divieto di ulteriore trattamento e ha ordinato la cancellazione dei dati già raccolti, sottolineando la gravità delle violazioni che hanno coinvolto circa 890 dipendenti.

Nel comminare la sanzione, si è considerato anche il fatturato aziendale, a dimostrazione dell’importanza di garantire il rispetto della normativa privacy in un contesto lavorativo così delicato.

Riflessioni e prospettive

Questo caso rappresenta un richiamo forte alle aziende sul corretto trattamento dei dati personali e, in particolare, di quelli legati alla salute.

Le prassi interne devono sempre garantire trasparenza, proporzionalità e il rispetto rigoroso delle basi giuridiche previste dal Gdpr. Solo così si può coniugare la tutela della salute con il diritto alla riservatezza dei lavoratori, evitando sanzioni e potenziali danni reputazionali.
Inoltre, occorre essere consapevoli che la protezione dei dati personali non è più un tema settoriale o confinato agli uffici legali: riguarda trasversalmente tutti gli ambiti aziendali anche quello dedicato alla salute e sicurezza sui luoghi di lavoro.
Al contrario, deve essere integrata fin dall’origine, in modo preventivo e sistemico. I responsabili della sicurezza e quelli della privacy devono lavorare in stretta sinergia, per costruire modelli di prevenzione che siano efficaci, ma anche conformi al quadro normativo sulla protezione dei dati.
Anche le direzioni HR sono chiamate a un ruolo attivo. Ogni iniziativa volta al benessere organizzativo, alla produttività o al miglioramento del clima aziendale deve passare per una valutazione preliminare degli impatti privacy, nella logica della responsabilizzazione (accountability) prevista dal Gdpr.

Integrare la protezione dei dati nei processi HR non è solo un obbligo, ma una leva di governance e sostenibilità aziendale.