Il provvedimento del Garante Privacy del 10 luglio 2025 su Magna PT S.p.A.: analisi del caso e implicazioni per la data protection nei rapporti di lavoro
Introduzione
Il 10 luglio 2025 il Garante per la protezione dei dati personali ha adottato un provvedimento di grande rilievo (doc. web n. 10154148), con cui ha sanzionato Magna PT S.p.A., azienda operante nel settore automotive, per l’utilizzo di un modulo denominato “Return to Work Interview” (RTWI), compilato in occasione del rientro dei dipendenti dopo assenze per malattia, infortunio o ricovero.
Il provvedimento si colloca in un’area particolarmente delicata della data protection: quella del trattamento dei dati personali dei lavoratori, e in particolare dei dati “particolari” relativi alla salute. L’episodio offre lo spunto per riflettere sull’interazione fra:
- obblighi di tutela della salute e sicurezza sul lavoro (art. 2087 c.c., D.Lgs. 81/2008),
- divieti e garanzie dello Statuto dei lavoratori (art. 8 L. 300/1970),
- principi del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy (D.Lgs. 196/2003).
Il Garante, dopo una lunga istruttoria, ha accertato una serie di violazioni del GDPR e del Codice Privacy, disponendo:
- il divieto di proseguire il trattamento tramite i moduli RTWI,
- la cancellazione dei dati già raccolti,
- l’irrogazione di una sanzione amministrativa pecuniaria di 50.000 euro,
- la pubblicazione del provvedimento sul sito dell’Autorità.
Questo articolo ripercorre il caso, ricostruisce il percorso argomentativo del Garante, analizza le norme richiamate e discute le implicazioni pratiche per imprese e operatori, con l’obiettivo di offrire un contributo tecnico-scientifico utile per la comunità di professionisti della privacy, del diritto del lavoro e della compliance.
1. Il contesto del caso: il modulo RTWI e la segnalazione sindacale
1.1 La segnalazione dell’USB Puglia
Il caso trae origine da una segnalazione presentata il 23 agosto 2021 dall’organizzazione sindacale USB Lavoro Privato Puglia.
Il sindacato denunciava l’uso, da parte di Magna PT S.p.A., di un “colloquio di rientro al lavoro” obbligatorio per i dipendenti al termine di assenze dovute a malattia, ricovero o infortunio. Tale colloquio prevedeva la compilazione di un questionario strutturato (RTWI – Return to Work Interview).
1.2 Le caratteristiche del modulo
Dalle informazioni acquisite emerge che il modulo RTWI veniva compilato dal responsabile gerarchico del lavoratore, in presenza di quest’ultimo, e successivamente trasmesso all’ufficio Risorse Umane. In alcuni casi, i contenuti venivano condivisi anche con il medico competente.
Il questionario conteneva, a seconda delle versioni adottate (dal 2020 al 2021), domande riguardanti:
- la natura dell’assenza (malattia, infortunio, ricovero),
- eventuali prescrizioni del medico curante o del medico competente,
- valutazioni sullo stato di salute e di benessere,
- possibili situazioni di disagio in azienda,
- suggerimenti per migliorare l’ambiente di lavoro.
Nonostante alcune modifiche nel tempo (con semplificazioni introdotte nel 2020 e 2021), il modulo continuava a raccogliere dati potenzialmente sensibili e non sempre pertinenti.
1.3 Le difese dell’azienda
Magna PT ha sostenuto che il modulo fosse:
- uno strumento di gestione del rientro al lavoro,
- parte delle pratiche di salute e sicurezza,
- facoltativo per i dipendenti,
- utilizzato con finalità di prevenzione e supporto, e non di sorveglianza sanitaria.
L’azienda ha anche rivendicato il proprio obbligo di garantire un ambiente di lavoro sicuro ex art. 2087 c.c., interpretando la raccolta di informazioni come un modo per intercettare precocemente situazioni di disagio.
2. L’istruttoria del Garante
2.1 Le richieste di chiarimenti
Tra il 2023 e il 2024 il Garante ha formulato più richieste di chiarimenti ai sensi dell’art. 157 del Codice Privacy, ricevendo riscontri dettagliati dalla società.
Sono emersi elementi importanti:
- i moduli erano conservati per un periodo massimo di 10 anni,
- le informazioni raccolte potevano includere dati sulla salute,
- il modulo, almeno nelle versioni antecedenti al 2021, prevedeva domande chiaramente attinenti a dati particolari (es. “hai necessità di un colloquio con il medico aziendale per esporre la tua situazione di salute?”).
2.2 L’avvio del procedimento
Il 7 agosto 2024 l’Autorità ha notificato a Magna PT le presunte violazioni del GDPR e del Codice Privacy, contestando la violazione degli articoli:
- artt. 5, 6, 9, 13, 88 GDPR,
- art. 113 Codice Privacy.
2.3 Le deduzioni difensive
La società, oltre a ribadire le finalità di benessere e sicurezza, ha eccepito:
- l’incompetenza temporale del Garante (asserita tardività della contestazione rispetto ai termini interni),
- l’assenza di danni concreti per i lavoratori,
- la natura volontaria della compilazione del modulo,
- l’uso di informative privacy generali disponibili sui portali aziendali.
3. Le violazioni accertate dal Garante
3.1 Informativa inadeguata (art. 13 GDPR)
Il Garante ha rilevato che il modulo non forniva un’informativa completa e specifica sul trattamento, contravvenendo all’art. 13 GDPR.
Le poche righe introduttive erano generiche e non rendevano i lavoratori pienamente consapevoli del trattamento dei propri dati.
3.2 Liceità del trattamento (artt. 6 e 9 GDPR)
Il trattamento dei dati – comuni e particolari – non trovava un’adeguata base giuridica:
- il consenso non era ritenuto valido, data l’asimmetria del rapporto di lavoro,
- il legittimo interesse non è invocabile per dati particolari,
- l’obbligo di legge ex art. 2087 c.c. non può estendersi a giustificare raccolte sistematiche di dati sanitari da parte del datore, in quanto tale attività è riservata al medico competente.
3.3 Principio di minimizzazione (art. 5 GDPR)
Molte informazioni richieste erano superflue o già disponibili presso l’ufficio HR. La raccolta costituiva dunque un’inutile duplicazione e violava il principio di minimizzazione.
3.4 Conservazione eccessiva (art. 5 GDPR)
La conservazione per 10 anni dei moduli, pur se in pratica più breve, è stata considerata sproporzionata e non sufficientemente determinata nei criteri di cancellazione.
3.5 Trattamento di dati non pertinenti (art. 113 Codice Privacy, art. 8 Statuto lavoratori)
Alcune domande del modulo, specie nelle prime versioni, potevano condurre alla raccolta di informazioni irrilevanti per l’attitudine professionale del lavoratore, in contrasto con l’art. 8 Statuto dei lavoratori, che vieta indagini sulle opinioni e sulla vita privata.
4. I provvedimenti del Garante
Alla luce delle violazioni, il Garante ha disposto:
- divieto di ulteriori trattamenti tramite i moduli RTWI,
- cancellazione dei dati raccolti, entro 60 giorni,
- sanzione amministrativa pecuniaria di 50.000 euro,
- pubblicazione del provvedimento sul sito dell’Autorità.
Il livello di gravità è stato considerato medio, ma non “minore”, poiché coinvolgeva dati sensibili, un numero elevato di lavoratori e una violazione protratta per anni.
5. Analisi normativa e giurisprudenziale
5.1 GDPR: basi giuridiche e consenso dei lavoratori
Il provvedimento ribadisce che, nel rapporto di lavoro, il consenso non può essere normalmente considerato libero. Questo principio era già stato espresso:
- nelle Linee guida del WP29 sul consenso (2017-2018),
- in vari provvedimenti del Garante (es. 2018, doc. web n. 9039945).
5.2 Il ruolo del medico competente
Il D.Lgs. 81/2008 attribuisce al medico competente la gestione della sorveglianza sanitaria. Il datore di lavoro non può sostituirsi a questa funzione raccogliendo direttamente dati sanitari.
5.3 Lo Statuto dei lavoratori
L’art. 8 vieta le indagini sulle opinioni e sulla vita privata. La giurisprudenza ha chiarito che anche la mera acquisizione e conservazione di tali dati costituisce illecito (Cass. civ. 18302/2016).
5.4 Il principio di accountability
Il caso mostra l’importanza del principio di accountability: l’azienda non può giustificare ex post il trattamento sulla base di finalità generiche, ma deve individuare ex ante una base giuridica solida.
6. Implicazioni pratiche per le imprese
6.1 Rientro dei lavoratori e dati sensibili
Le aziende devono distinguere nettamente tra:
- attività organizzative e gestionali,
- attività sanitarie di competenza esclusiva del medico competente.
6.2 Informative trasparenti e specifiche
Ogni trattamento deve essere accompagnato da un’informativa chiara e dettagliata, non affidata a formule generiche o a rinvii a portali aziendali.
6.3 Conservazione proporzionata
I tempi di conservazione devono essere definiti con criteri precisi e comunicati agli interessati. Periodi decennali, salvo esigenze particolari e motivate, sono eccessivi.
6.4 Evitare sovrapposizioni con la sorveglianza sanitaria
Le aziende non possono introdurre pratiche che, di fatto, replicano attività mediche senza il coinvolgimento del medico competente.
7. Discussione critica
Il provvedimento è significativo perché:
- riafferma principi già noti (consenso non valido nel lavoro, centralità del medico competente),
- li applica a un caso concreto molto pratico e diffuso (colloqui post-assenza),
- sancisce la necessità di distinguere tra cura del benessere organizzativo e trattamento di dati sanitari.
Tuttavia, lascia aperti alcuni interrogativi:
- come possono i datori di lavoro bilanciare l’obbligo di prevenzione ex art. 2087 c.c. con i limiti del GDPR?
- quali strumenti restano disponibili per intercettare situazioni di disagio organizzativo senza violare la privacy?
- fino a che punto il Garante può incidere sulle pratiche di gestione HR che hanno anche una dimensione relazionale oltre che sanitaria?
Conclusioni
Il provvedimento del Garante del 10 luglio 2025 contro Magna PT S.p.A. rappresenta un importante tassello nella costruzione di una giurisprudenza amministrativa in materia di privacy sul lavoro.
Il messaggio principale è chiaro:
- il datore di lavoro non può giustificare trattamenti invasivi sulla base di generici obblighi di tutela della salute,
- ogni trattamento deve essere sorretto da una base giuridica precisa,
- il medico competente è il perno della gestione dei dati sanitari,
- i principi di trasparenza, minimizzazione e proporzionalità devono guidare ogni scelta organizzativa.
Il caso avrà certamente un impatto sulle pratiche HR di molte imprese e costituisce un riferimento per la compliance futura.
