Con il provvedimento n. 582 del 9 ottobre 2025, il Garante ha censurato la diffusione impropria di dati personali all’interno della Procura di Milano: un dipendente aveva inviato a un gruppo di colleghi un file con l’elenco dei dipendenti che non avevano completato i test sulla piattaforma Syllabus, includendo cognome, numero di test mancanti e corsi incompleti.
Il Garante ha chiarito che:
• si trattava comunque di dati personali legati all’adempimento di obblighi formativi;
• l’invio cumulativo ha esposto informazioni a soggetti non autorizzati;
• la finalità del sollecito poteva essere raggiunta con comunicazioni individuali, più rispettose della riservatezza.
Non bastano l’urgenza o l’appartenenza alla stessa struttura per giustificare la conoscenza incrociata di informazioni personali: il principio di minimizzazione impone l’uso della modalità meno invasiva. Nessuna norma autorizza la diffusione interna dell’elenco dei “ritardatari”, dunque il trattamento è risultato eccedente e non necessario.
Considerata la violazione come minore e la collaborazione del Ministero della Giustizia, il Garante ha applicato un ammonimento, richiamando l’amministrazione ad adottare pratiche conformi al GDPR.
Messaggio chiave: anche nelle comunicazioni interne, i datori di lavoro devono evitare divulgazioni non indispensabili e privilegiare comunicazioni individuali quando trattano dati relativi alla posizione lavorativa dei dipendenti.
Lascia un commento