Provvedimento n. 363 del 23.6.2025 del Garante per la protezione dei dati personali

Con il provvedimento n. 363 del 23.6.2025, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento di dati personali effettuato da una società di trasporto pubblico locale, in violazione degli artt. 5 par. 1, lett. c) (principio di minimizzazione) e 9 par. 2 (trattamento di categorie particolari di dati) del Regolamento (UE) 2016/679 (GDPR). Il procedimento trae origine da un reclamo presentato da un’organizzazione sindacale che contestava la diffusione indebita di dati personali e sensibili mediante l’affissione e l’invio via e-mail di prospetti dei turni di servizio contenenti abbreviazioni (es. “MAL”, “INF”, “104”, “SOSP”) idonee a rivelare lo stato di salute o l’appartenenza sindacale dei lavoratori. L’azienda ha giustificato la prassi richiamando l’art. 10 della legge n. 138/1958 relativo all’obbligo di pubblicazione dei turni, ma ha successivamente modificato la modalità di comunicazione, eliminando le sigle identificative delle assenze. Il Garante ha ritenuto che la condotta configurasse una comunicazione non autorizzata di dati personali e sensibili, in assenza di un’idonea base giuridica, rilevando la violazione dei principi di liceità, correttezza, trasparenza e minimizzazione nel trattamento dei dati, come stabilito dal GDPR e dal d.lgs. 196/2003, come modificato dal d.lgs. 101/2018. In considerazione dell’intervenuta cessazione della prassi illegittima, l’Autorità non ha imposto misure correttive ulteriori, ma ha irrogato una sanzione amministrativa pecuniaria pari a €10.000, ai sensi dell’art. 83 del GDPR. La decisione sarà pubblicata sul sito istituzionale ai sensi dell’art. 166 del Codice Privacy, anche con finalità dissuasive.