1. Accesso Ingiustificato ai Dati
Con un reclamo presentato ai sensi dell’art. 77 del Regolamento, un funzionario della Procura della Repubblica presso il Tribunale di Milano lamentava una presunta violazione della normativa in materia di protezione dei dati personali.
Il funzionario rappresentava che l’ufficio di segreteria della dirigenza della Procura della Repubblica aveva “trasmesso a una mailing list un file xlsx contenete una tabella riportante cognomi di dipendenti” della Procura della Repubblica, associati ai test che risultavano non effettuati sulla piattaforma formativa denominata Syllabus.
Il Ministero della Giustizia aveva disposto l’attivazione di percorsi formativi sulla piattaforma Syllabus per tutto il personale dipendente. Durante la fase di monitoraggio dell’obiettivo intermedio, era risultato che 22 dipendenti non avevano ancora terminato l’assessment entro il termine stabilito.
Per sollecitare l’adempimento, l’ufficio aveva predisposto un elenco riepilogativo del personale che non aveva ancora terminato l’assessment e aveva proceduto a un sollecito tramite e-mail cumulativa inviata dalla Segreteria Dirigenza (testualmente: “Gentilissimi, trasmetto in allegato un utile prospetto che riporta i singoli corsi sui quali ciascuno di voi deve ancora effettuare/ultimare l’assessment, adempimento per il quale il termine di scadenza era fissato per il XX scorso“). L’allegato recava, per ciascuno dei ventidue destinatari, l’indicazione dei titoli dei corsi mancanti.
2. Le Giustificazioni dell’Amministrazione
Il Ministero della Giustizia si difendeva sostenendo che l’invio cumulativo era stato necessario per ragioni di rapidità di intervento (i termini previsti per l’Amministrazione erano stringenti), in considerazione anche del carico di lavoro e della carenza di personale. Inoltre, aveva ritenuto che la comunicazione cumulativa fosse utile per informare i diretti interessati e consentire loro di concludere i test nel minor tempo possibile.
Si precisava, comunque, che la comunicazione, inviata a seguito di numerosi tentativi di contatto telefonico, aveva divulgato unicamente i nominativi dei dipendenti interessati e i titoli dei corsi mancanti, senza diffondere i risultati dei test eseguiti o le valutazioni individuali. L’intento dichiarato era anche quello di favorire forme di confronto e aiuto reciproco tra i dipendenti.
Infine, si cercava di minimizzare la portata della comunicazione, affermando che non si trattava di “inadempimento” su obblighi formativi, bensì di un mero perfezionamento di “step” amministrativi prodromici all’avvio dei corsi, qualificando l’informazione come “circostanze del tutto blande e neutre”.
3. Illiceità del trattamento
3.1. Il Trattamento dei Dati nel Settore Pubblico
L’Autorità Garante ha preliminarmente precisato che i soggetti pubblici possono trattare dati personali nell’ambito lavorativo, se tale trattamento è necessario per la gestione del rapporto di lavoro o per adempiere a specifici obblighi legali o compiti di interesse pubblico o connessi all’esercizio di pubblici poteri (artt. 6, par. 1, lett. c) ed e) e 88 del Regolamento).
Inoltre, l’operazione di comunicazione di dati personali a terzi da parte di soggetti pubblici è ammissibile solo al ricorrere delle specifiche condizioni stabilite dall’art. 2-ter, commi 1, 1-bis, 2 e 4, par. 1, lett. a), del Codice.
3.2. Minimizzazione dei Dati
Il Garante ha ribadito il suo orientamento consolidato, secondo cui i dati personali dei dipendenti, trattati per la gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro o da coloro che sono legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento.
In questo senso, è richiesto al datore di lavoro di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che ne necessitino effettivamente in ragione delle funzioni esercitate (Art. 25, par. 2, 29 e 32, par. 4, del Regolamento), per evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati.
Il Garante ha richiamato le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, le quali, pur adottate nel contesto del quadro normativo previgente, conservano piena validità. Tali Linee Guida impongono al datore di lavoro di utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire la conoscibilità ingiustificata di dati personali da parte di soggetti diversi dal destinatario.
3.3. Infondatezza delle giustificazioni
In definitiva, l’Autorità ha categoricamente negato che vi fossero elementi idonei a giustificare l’invio cumulativo dell’e-mail. A causa di questa modalità di comunicazione, i ventidue dipendenti destinatari erano stati resi vicendevolmente edotti del numero e delle specifiche attività di formazione (corsi e test valutativi) non ancora espletate da parte dei colleghi, configurando ciò come una “condizione soggettiva concernente la diligente esecuzione di specifici obblighi nel quadro del rapporto di lavoro“.
Le giustificazioni addotte dal Ministero, quindi, sono state ritenute insufficienti:
- Necessità organizzativa e urgenza: pur prendendo atto delle stringenti scadenze e delle difficoltà logistiche (gravosità del carico di lavoro e carenza di personale), tali elementi non potevano prevalere sul principio di minimizzazione.
- Aiuto Reciproco: non si può ritenere che la comunicazione fosse legittima in quanto preordinata a favorire forme di confronto e aiuto reciproco. L’Autorità ha osservato che l’invio di comunicazioni individualizzate avrebbe soddisfatto in modo ugualmente efficace le finalità perseguite (sollecito all’adempimento), assicurando al contempo la tutela della riservatezza dei lavoratori.
- Irrilevanza della natura amministrativa degli “step”: la tesi secondo cui la comunicazione riguardava meri “step amministrativi” prodromici all’avvio dei corsi è stata respinta; l’e-mail faceva riferimento alla necessità di “effettuare/ultimare l’assesment” data la scadenza del termine; tali informazioni, anche se riguardanti solo un passaggio amministrativo, erano ragionevolmente suscettibili di ingenerare nei colleghi destinatari la supposizione che taluni non avessero tempestivamente osservato i propri obblighi formativi.
- Mancanza di danno concreto: Il Garante ha precisato che la normativa in materia di protezione dei dati personali si ispira a una logica di prevenzione del rischio per i diritti e le libertà degli interessati. Pertanto, l’asserita insussistenza di danni concreti subiti dagli interessati non rileva, poiché la violazione sussiste indipendentemente dall’effettivo concretizzarsi di un danno, potendo il livello del danno influire sulla gravità della sanzione ma non sull’illiceità del trattamento (art. 83, par. 1, lett. a), del Regolamento).
4. Qualificazione della Violazione
In conclusione, il Ministero della Giustizia ha trattato i dati personali in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”, in assenza di un’idonea base giuridica, violando l’art. 5, par. 1, lett. a) e c), e l’art. 6 del Regolamento, nonché l’art. 2-ter del Codice.
Accertata l’illiceità del trattamento, valutata l’entità della violazione e l’applicazione delle misure correttive, tenendo conto dei criteri stabiliti dall’art. 83, par. 2, del Regolamento, tenuti in considerazione taluni elementi attenuanti emersi nel corso dell’istruttoria, che hanno condotto a qualificare il caso come una “violazione minore”, il Garante ha ritenuto sufficiente ammonire il titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento. Dato che la condotta illecita aveva ormai esaurito i suoi effetti (anche grazie all’adozione della circolare interna), non è stata ritenuta necessaria l’adozione di ulteriori misure correttive.
5. Conclusioni
La logica della minimizzazione (art. 5, par. 1, lett. c, GDPR), impone che il titolare del trattamento scelga sempre la modalità di comunicazione che, pur raggiungendo l’obiettivo funzionale (in questo caso, il sollecito all’adempimento), limiti al massimo la diffusione delle informazioni personali ai soli soggetti autorizzati. Non è sufficiente che l’intento sia positivo (come l’agevolare il “confronto e aiuto reciproco” tra colleghi); se il medesimo scopo può essere raggiunto tramite comunicazioni individualizzate, l’invio cumulativo è da considerarsi un trattamento illecito.
Dunque, anche informazioni apparentemente “neutre” (come l’elenco dei test non completati) possono ledere la riservatezza e la dignità del lavoratore in quanto riguardano l’adempimento di obblighi lavorativi individuali.
In sintesi, la gestione dei dati personali dei dipendenti in relazione agli adempimenti interni, richiede una progettazione del trattamento (privacy by design) che prevenga la conoscibilità ingiustificata delle condizioni soggettive del lavoratore, anche se l’Amministrazione si trova ad operare in condizioni di urgenza o carenza di personale. L’Autorità, con questo provvedimento, ha chiarito che l’efficienza non può mai giustificare la lesione dei principi fondamentali del GDPR.
Provvedimento del 9 ottobre 2025 [10191660] – Garante Privacy
