L'urgenza non può giustificare l'invio di un'unica mail contentente dati personali ad un gruppo di colleghi
Con il provvedimento n. 582 del 9 ottobre 2025, il Garante privacy si è pronunciato riguardo la diffusione impropria di dati personali da parte di un dipendente della Procura di Milano, che aveva inviato a un gruppo di colleghi un’email con allegato un file contenente l’elenco dei dipendenti che non avevano completato i test formativi sulla piattaforma Syllabus.
Nell’allegato erano indicati cognome dei dipendenti, numero di test non effettuati e titoli dei corsi incompleti. Pur non trattandosi di valutazioni qualitative, si trattava comunque di dati personali connessi all’adempimento di obblighi formativi. La scelta di una comunicazione cumulativa ha esposto tali informazioni a soggetti privi di specifiche funzioni autorizzative, permettendo ai destinatari di conoscere la posizione formativa dei colleghi senza alcuna necessità organizzativa.
Il Garante ha ritenuto che la divulgazione interna non fosse giustificata da finalità legittime: l’obiettivo del sollecito avrebbe potuto essere raggiunto tramite notifiche individuali, più rispettose della riservatezza. La diffusione dell’elenco poteva inoltre generare percezioni di inadempienza, pregiudizi reputazionali e un clima lavorativo non coerente con i principi di tutela dei dati personali.
Nel caso in esame, l'Autorità chiarisce che anche all’interno della stessa struttura organizzativa l’invio cumulativo di dati personali può costituire una comunicazione indebita, in violazione dei principi di minimizzazione e proporzionalità del GDPR, anche se tale disattenzione può essere dettata dall'urgenza.
Durante l’istruttoria il Ministero della Giustizia aveva infatti sostenuto che la comunicazione cumulativa fosse motivata dall’urgenza di completare gli assessment formativi, già scaduti. Dopo tentativi individuali e telefonici, l’amministrazione aveva optato per un invio collettivo, richiamando anche difficoltà organizzative legate al carico di lavoro della Procura e alla scarsità di personale. Secondo il Ministero, l’intento non era segnalare inadempienze, ma favorire una collaborazione tra colleghi, anche perché alcuni ritenevano di aver già completato i percorsi formativi. L’amministrazione ha poi dichiarato di aver adottato misure correttive per evitare il ripetersi della situazione.
Il Garante ha ribadito che la semplice appartenenza dei destinatari alla medesima struttura non basta a legittimare la conoscenza incrociata di informazioni personali. Il principio di minimizzazione impone che i dati siano limitati a quanto necessario: l’invio cumulativo non rappresentava la modalità meno invasiva e la comunicazione individuale avrebbe raggiunto la stessa finalità.
L’Autorità ha quindi dichiarato illecito il trattamento, richiamando l’articolo 5, paragrafo 1, lettere a) e c) GDPR, l’articolo 6 GDPR e l’articolo 2-ter del Codice privacy. Nessuna norma autorizza la diffusione ai colleghi dell’elenco dei ritardatari nei test formativi, e la finalità perseguita non giustificava l’invio collettivo: il trattamento è risultato eccedente e non necessario.
La violazione è stata qualificata come minore, tenendo conto dei criteri dell’articolo 83, paragrafo 2, GDPR e del considerando 148, nonché dell’atteggiamento collaborativo del Ministero. Il Garante ha quindi applicato un ammonimento ai sensi dell’articolo 58, paragrafo 2, lettera b) GDPR, evitando sanzioni pecuniarie ma richiamando il Ministero all’adozione di modalità di comunicazione conformi ai principi del GDPR.
Il provvedimento ribadisce quindi l’obbligo, per i datori di lavoro, di prevenire divulgazioni non necessarie di dati dei dipendenti e di utilizzare comunicazioni individualizzate ogni volta che si trattino informazioni relative alla posizione lavorativa, e chiarisce che il ricorso alla comunicazione cumulativa, seppur motivato da ragioni di urgenza e di efficienza organizzativa, non può prevalere sul rispetto dei principi fondamentali del GDPR.
