Dati dei dipendenti e attitudine professionale: il Garante interviene sui limiti del controllo aziendale
Il trattamento dei dati personali dei lavoratori incontra un limite preciso: possono essere raccolte e conservate solo le informazioni strettamente rilevanti rispetto all’attitudine professionale. È questo il principio riaffermato dal Garante per la protezione dei dati personali con il provvedimento n. 107 del 24 febbraio 2026, che ha disposto la limitazione definitiva del trattamento effettuato da una società operante nel settore della logistica.
Il caso offre uno spunto rilevante per riflettere sui confini del potere organizzativo del datore di lavoro e sull’applicazione concreta dei principi del GDPR nel contesto dei rapporti di lavoro.
Il perimetro dell’attitudine professionale
La società aveva implementato una piattaforma interna collegata al sistema di rilevazione presenze, attraverso la quale i manager ricevevano segnalazioni automatiche per avviare colloqui con i dipendenti al rientro da periodi di assenza o in presenza di determinati eventi. I colloqui venivano annotati in campi a testo libero all’interno delle schede individuali.
Proprio tali annotazioni hanno costituito il fulcro dell’intervento dell’Autorità. Nei campi descrittivi risultavano inserite informazioni su specifiche patologie dei dipendenti, sulla partecipazione a scioperi o attività sindacali, nonché su aspetti della vita privata e familiare e su relazioni personali tra colleghi.
Il Garante ha ritenuto tali dati ultronei rispetto alla valutazione dell’attitudine professionale, richiamando l’articolo 113 del Codice Privacy e i principi di liceità, minimizzazione e limitazione della conservazione previsti dall’articolo 5 del GDPR.
Il concetto di “ultroneità” assume qui una portata decisiva: non è sufficiente che il dato sia acquisito in un contesto lavorativo perché possa essere trattato. Deve sussistere un nesso diretto e necessario con la prestazione professionale.
Conservazione prolungata e accessibilità
Un ulteriore profilo critico riguarda i tempi di conservazione. Le informazioni venivano mantenute per l’intera durata del rapporto di lavoro e fino a dieci anni dalla cessazione. In presenza di dati sensibili e di informazioni personali non pertinenti, tale estensione temporale è stata ritenuta incompatibile con il principio di limitazione della conservazione.
L’Autorità ha inoltre valutato il regime di accessibilità interna alla piattaforma, considerando la quantità di lavoratori coinvolti e la profondità temporale dei dati raccolti, elementi che hanno inciso sulla gravità della violazione.
Videosorveglianza e tutela della dignità
Parallelamente, il Garante ha censurato il posizionamento di alcune telecamere in prossimità di aree riservate ai lavoratori, ritenendo non adeguatamente giustificata tale collocazione rispetto alle finalità organizzative dichiarate dalla società.
La decisione ribadisce che anche le esigenze di sicurezza e organizzazione aziendale devono rispettare i principi di proporzionalità e necessità, soprattutto quando incidono sulla sfera personale dei dipendenti.
Una misura urgente e definitiva
In considerazione della natura dei dati trattati, del numero elevato di interessati e della gravità delle violazioni, il Garante ha disposto in via d’urgenza la limitazione definitiva del trattamento ai sensi dell’articolo 58, paragrafo 2, lettera f), del GDPR.
Il provvedimento conferma che il rapporto di lavoro non costituisce un ambito di compressione dei diritti fondamentali in materia di protezione dei dati. Il potere direttivo e organizzativo del datore di lavoro incontra un limite invalicabile nella dignità e nella riservatezza del lavoratore.
La gestione dei dati HR richiede oggi una revisione attenta delle piattaforme interne, delle modalità di annotazione, delle policy di conservazione e delle misure di controllo. La compliance non è un adempimento formale, ma un presidio sostanziale della legittimità dell’organizzazione aziendale.
