Il Garante Privacy, con provvedimento del 29 aprile 2026, n. 304, ha sanzionato il Ministero della Giustizia per avere diffuso informazioni riconducibili allo stato di salute di un lavoratore mediante un ordine di servizio affisso in bacheca e comunicato a soggetti che non avevano necessità di conoscere tali informazioni nell’ambito delle proprie funzioni.
Il Garante ricorda, infatti, che le informazioni relative alla salute costituiscono una categoria particolare di dati personali e possono essere trattate soltanto nei limiti strettamente necessari per la gestione del rapporto di lavoro e nel rispetto dei principi di liceità, correttezza, minimizzazione e proporzionalità previsti dal Regolamento UE 2016/679.
Secondo l’Autorità, il datore di lavoro può certamente conoscere il giudizio di idoneità espresso dal medico competente e le eventuali prescrizioni necessarie per consentire lo svolgimento dell’attività lavorativa in condizioni di sicurezza. Tale possibilità deriva direttamente dalla disciplina contenuta nel D.Lgs. n. 81/2008, che impone al datore di lavoro di attuare le indicazioni formulate dal medico competente e di adibire il lavoratore a mansioni compatibili con il suo stato di salute.
Ciò che il datore di lavoro non può fare, tuttavia, è diffondere tali informazioni oltre il perimetro dei soggetti che, per ragioni organizzative e funzionali, devono concretamente gestire la posizione del lavoratore. La conoscenza delle prescrizioni mediche deve, quindi, essere limitata al personale specificamente autorizzato e coinvolto nella pianificazione dell’attività lavorativa, nell’assegnazione delle mansioni e nella gestione delle risorse umane.
L’Autorità evidenzia come non sia necessario indicare una patologia o una diagnosi affinché un’informazione possa essere qualificata come dato relativo alla salute: anche riferimenti apparentemente generici, quali la necessità di evitare determinate posture, di alternare la posizione seduta e quella eretta, di limitare alcuni movimenti o di svolgere specifiche attività lavorative, possono consentire di desumere informazioni sullo stato psicofisico dell’interessato e devono, pertanto, essere trattati con le stesse cautele previste per i dati sanitari.
Il provvedimento richiama, inoltre, un principio di particolare interesse operativo. Le esigenze di trasparenza amministrativa o di organizzazione del lavoro non giustificano automaticamente la diffusione di dati personali. In altri termini, la circostanza che un provvedimento debba essere conosciuto all’interno dell’organizzazione non significa che tutte le informazioni in esso contenute possano essere portate a conoscenza di una platea indistinta di lavoratori.
Per questa ragione, il Garante evidenzia che, qualora sia necessario comunicare decisioni organizzative riguardanti l’assegnazione di personale, il datore di lavoro deve valutare soluzioni alternative che consentano di raggiungere il medesimo obiettivo organizzativo senza rendere conoscibili informazioni attinenti alla salute del lavoratore. In applicazione del principio di minimizzazione, infatti, devono essere trattati soltanto i dati effettivamente indispensabili rispetto alla finalità perseguita.
Di particolare rilievo è anche il passaggio dedicato ai rapporti con le organizzazioni sindacali. L’Autorità ribadisce che la semplice previsione contenuta in accordi o contratti collettivi non costituisce, di per sé, una base giuridica sufficiente per legittimare la comunicazione di dati personali, soprattutto quando si tratta di dati appartenenti a categorie particolari. La comunicazione alle organizzazioni sindacali richiede sempre una specifica base normativa e deve comunque rispettare i principi di necessità e proporzionalità previsti dalla disciplina privacy.
