Il Garante della privacy sanziona ITA Airways e Alitalia per 1,25 milioni di euro per violazione del GDPR sui dati dei lavoratori
Il Garante per la protezione dei dati personali ha irrogato sanzioni per complessivi 1,25 milioni di euro nei confronti di ITA Airways e di Alitalia in amministrazione straordinaria per un trattamento illecito di dati personali riguardante i dipendenti della compagnia aerea.

Il provvedimento, adottato il 4 marzo 2026, riguarda la gestione delle informazioni dei lavoratori durante la fase di transizione tra la vecchia compagnia di bandiera e la nuova società che ne ha raccolto l’eredità operativa.
Il trasferimento dei dati dei dipendenti dalla vecchia società a quella nuova - Secondo quanto riporta Thomas Mackinson sul Fatto Quotidiano, l’Autorità avrebbe accertato che Alitalia avrebbe messo a disposizione di ITA Airways i fascicoli personali dei dipendenti del comparto Aviation, contenenti numerose informazioni, tra cui dati relativi a retribuzione, carichi familiari e precedenti contenziosi lavorativi.
L’accesso a tali informazioni sarebbe avvenuto tramite una cartella informatica condivisa, consentendo alla nuova società di consultare i dati dei lavoratori prima che questi presentassero eventuali candidature per essere assunti da ITA.
Il Garante ha ritenuto che tale trattamento sia stato effettuato in assenza di una base giuridica idonea, configurando una violazione dei principi fondamentali del Regolamento UE 2016/679.
In particolare, la circolazione dei dati tra le due società è stata considerata incompatibile con il principio di liceità e correttezza del trattamento previsto dall’articolo 5, paragrafo 1, lettera a) del regolamento europeo e con l’obbligo di individuare una valida base giuridica ai sensi dell’articolo 6 del GDPR.
Il nodo della “discontinuità” tra le due compagnie - Il caso si inserisce nel contesto della complessa transizione tra Alitalia e ITA Airways, avvenuta nel quadro delle condizioni poste dalla Commissione europea per autorizzare la nascita della nuova compagnia aerea.
Per evitare che l’operazione fosse qualificata come trasferimento d’azienda – ipotesi che avrebbe comportato il passaggio automatico dei rapporti di lavoro – le due società avevano sostenuto la tesi della discontinuità aziendale. Proprio tale impostazione ha assunto rilievo anche nella valutazione del Garante: se le due entità erano giuridicamente distinte e prive di continuità, il trasferimento sistematico dei dati dei lavoratori non poteva essere giustificato da un obbligo normativo o da una successione nei rapporti giuridici.
L’origine della segnalazione - L’istruttoria dell’Autorità era stata avviata a seguito di una segnalazione presentata nel luglio 2023 da rappresentanti sindacali del settore trasporti. Nella segnalazione si denunciava la trasmissione dei fascicoli dei dipendenti senza il consenso degli interessati e senza una base giuridica adeguata. La trasmissione televisiva Report aveva accesso i riflettori sulla vicenda dopo che era rimasta all’esame dell’Autorità per un periodo prolungato, e si è adesso conclusa con l’adozione del provvedimento sanzionatorio.
Possibili conseguenze sul piano civile - Il provvedimento del Garante potrebbe avere riflessi anche sul piano giudiziario. Diversi ex dipendenti coinvolti nella vicenda stanno valutando azioni risarcitorie per i danni eventualmente subiti in relazione al trattamento illecito dei loro dati personali. Si parla di circa 2.000 lavoratori potenzialmente interessati, mentre proseguono anche contenziosi davanti alla magistratura ordinaria in materia di lavoro.
Un caso rilevante per la gestione dei dati nelle ristrutturazioni aziendali - La decisione del Garante richiama l’attenzione su un tema particolarmente delicato: la gestione dei dati personali dei lavoratori nelle operazioni di riorganizzazione o successione tra imprese. Anche in contesti di transizione societaria complessi, la circolazione delle informazioni relative ai dipendenti deve avvenire nel rispetto dei principi fondamentali della normativa europea sulla protezione dei dati personali, tra cui liceità, trasparenza e limitazione delle finalità del trattamento.
Il caso rappresenta dunque un ulteriore esempio di come, nell’ambito dei rapporti di lavoro, la condivisione dei dati tra soggetti giuridicamente distinti richieda una valutazione attenta della base giuridica e delle modalità del trattamento, nel rispetto delle garanzie previste dal GDPR.
Fonte: ll Fatto Quotidiano






