Accesso a distinte di bonifici dei colleghi attraverso l’intranet aziendale: illecito il trattamento dei dati personali
Il provvedimento del Garante per la protezione dei dati personali n.490 dell’11 settembre 2025 (doc. web n. 10174501) ha deciso su un reclamo presentato da un dipendente che lamentava la diffusione indebita di dati personali propri e di altri colleghi da parte della società datrice di lavoro.
Il caso rappresenta un tipico data breach interno dovuto a errore umano nella gestione di cartelle condivise su server aziendali e offre importanti chiarimenti sull’applicazione degli artt. 5, 24 e 25 del GDPR, in relazione ai principi di accountability, minimizzazione e data protection by design e by default.
Il reclamante, accedendo all’intranet aziendale da un computer condiviso, aveva potuto consultare documenti contenenti informazioni economiche e bancarie di altri dipendenti, come distinte di bonifici per trattenute stipendiali legate a prestiti, pignoramenti o cessioni del quinto.
Dalle verifiche è emerso che l’evento era dovuto a un “errore umano” dei reparti Risorse Umane e Finance, che avevano caricato file contenenti tali dati in una cartella (“SEPA”) accessibile a personale non autorizzato. L’azienda ha rimosso i file entro 24 ore e aggiornato i modelli di distinta eliminando riferimenti identificativi ai dipendenti.
Nonostante le misure correttive e le giustificazioni fornite — tra cui l’avvio di una privacy gap analysis e nuove attività formative — il Garante ha ritenuto che la società avesse violato gli obblighi di sicurezza e protezione dei dati, ponendo in essere un trattamento illecito per mancato rispetto del principio di integrità e riservatezza.
Nel provvedimento, l’Autorità ha fondato la propria decisione su tre profili normativi principali del GDPR:
- Art. 5, par. 1, lett. f) “Integrità e riservatezza” - I dati personali devono essere trattati in modo da garantire un’adeguata sicurezza, anche rispetto a trattamenti non autorizzati. La disponibilità involontaria dei dati di circa 20 dipendenti in un’area accessibile a terzi costituisce violazione diretta di tale principio.
- Art. 24 – Responsabilità del titolare del trattamento - Il titolare deve adottare misure tecniche e organizzative idonee a dimostrare la conformità al Regolamento. L’assenza di controlli e policy efficaci per prevenire l’accesso a documenti contenenti dati personali evidenzia una carenza di governance e supervisione del rischio privacy.
- Art. 25 – Privacy by design e Privacy by default - Solo dopo l’incidente la società ha modificato i modelli eliminando i nomi dei dipendenti, segno che tali informazioni non erano necessarie alle finalità del trattamento. Il Garante sottolinea quindi la mancata applicazione preventiva del principio di minimizzazione, e di quelli relativi alla protezione dei dati fin dalla progettazione e per impostazione predefinita.
Alla luce delle risultanze, il Garante ha dichiarato l’illiceità del trattamento, ammonito la società e disposto la pubblicazione del provvedimento sul proprio sito, oltre all’annotazione nel registro interno delle violazioni.
Il caso conferma come anche un errore apparentemente marginale nella gestione di file condivisi possa comportare gravi conseguenze sul piano del rispetto della privacy e dela conformità al GDPR, ribadendo l’importanza della formazione continua e di misure organizzative proporzionate ai rischi del trattamento.
