Il rapporto di lavoro è uno degli ambiti in cui il principio di minimizzazione dei dati personali conta di più: le informazioni su procedimenti disciplinari, valutazioni della performance e percorso professionale dei dipendenti devono circolare solo tra chi ha un’effettiva necessità di conoscerle per ragioni istituzionali e organizzative.

Lo ha ribadito il Garante per la protezione dei dati personali con un provvedimento nei confronti della Regione Autonoma della Sardegna, sanzionata con una multa di 3.000 euro per aver comunicato per errore, all’amministrazione presso cui una dipendente aveva da poco preso servizio, dati relativi alla sua valutazione professionale presso il precedente datore di lavoro.

I fatti

Il caso nasce dal reclamo di una dipendente regionale su due episodi distinti: la diffusione interna di una comunicazione disciplinare e l’invio della risposta a un’istanza di accesso agli atti, comprensiva della scheda di valutazione della performance, alla PEC dell’amministrazione di nuova destinazione della dipendente.

Il Garante ha trattato le due vicende in modo diverso.

Quando la circolazione interna dei dati è lecita

Sul primo punto il reclamo è stato respinto: la nota disciplinare era stata trasmessa solo a dirigenti, uffici del personale, servizi finanziari e funzionari chiamati ad adottare gli atti conseguenti alla sanzione e ai suoi effetti economici. Il principio confermato dal Garante è che non ogni comunicazione interna costituisce una violazione del GDPR: la conoscenza dei dati è legittima quando deriva dalle funzioni effettivamente svolte, è prevista dall’organizzazione dell’ente ed è limitata ai soggetti autorizzati ai sensi degli artt. 29 GDPR e 2-quaterdecies del Codice Privacy. Il criterio, in sintesi, non è “chi lavora nello stesso ente” ma “chi ha realmente bisogno di quel dato”.

L’errore che è costato la sanzione

Diverso l’esito per il secondo episodio. Per garantire che la dipendente ricevesse la documentazione richiesta, la Regione aveva inviato la PEC anche all’amministrazione presso cui questa aveva appena preso servizio, allegando la scheda di valutazione della performance riferita al rapporto di lavoro precedente. Per il Garante, l’amministrazione destinataria era un soggetto terzo privo di qualsiasi titolo per conoscere quei dati: la comunicazione è stata giudicata priva di base giuridica e contraria ai principi di liceità e correttezza, in violazione degli artt. 5 e 6 GDPR e dell’art. 2-ter del Codice Privacy.

La dicitura “Riservato personale” non è sufficiente

La Regione aveva richiamato alcune attenuanti: la PEC riportava la dicitura “Riservato personale”, il sistema documentale dell’ente destinatario prevedeva accessi profilati e l’errore era stato segnalato successivamente per limitarne gli effetti. Il Garante ha ritenuto questi elementi non sufficienti a escludere la violazione: una volta comunicati i dati a un soggetto privo di legittimazione, l’illecito è già consumato, e le misure correttive successive possono incidere solo sulla quantificazione della sanzione.

Il GDPR tutela il rischio, non solo il danno

Un passaggio centrale del provvedimento riguarda il rapporto tra violazione e danno. La Regione aveva sostenuto l’assenza di un pregiudizio concreto per la dipendente, ma il Garante ricorda che il GDPR è costruito secondo una logica di prevenzione del rischio: per accertare una violazione non serve dimostrare un danno effettivo, è sufficiente che i dati siano stati comunicati senza un’idonea base giuridica.

Le indicazioni operative per le pubbliche amministrazioni

Dal provvedimento emergono alcune indicazioni pratiche per gli enti pubblici: limitare rigorosamente la conoscibilità dei dati del personale ai soli soggetti autorizzati, verificare sempre il destinatario delle comunicazioni individuali, utilizzare esclusivamente gli indirizzi indicati dall’interessato per le comunicazioni personali, evitare di coinvolgere amministrazioni terze senza una specifica base normativa, e adottare procedure organizzative e controlli preventivi sull’invio di corrispondenza contenente dati personali dei dipendenti.

Una lezione per DPO e uffici del personale

Il provvedimento conferma un principio spesso sottovalutato: la privacy nel pubblico impiego non si misura solo con la sicurezza informatica, ma soprattutto con la corretta organizzazione dei flussi documentali. L’errore materiale del singolo operatore non esime il titolare del trattamento da responsabilità, quando emerge l’assenza di adeguate misure organizzative. Il DPO dovrebbe quindi verificare periodicamente le procedure di gestione delle comunicazioni individuali, i profili di autorizzazione al trattamento, le modalità di utilizzo della PEC e dei sistemi documentali, e le istruzioni operative rivolte agli uffici del personale.

È nella gestione quotidiana delle comunicazioni interne ed esterne che si concentra oggi gran parte del rischio privacy per le pubbliche amministrazioni. Il provvedimento del Garante ricorda che la riservatezza dei dati dei lavoratori non dipende da formule come “riservato personale”, ma dalla presenza di una base giuridica, dal rispetto del principio del need to know e da un’organizzazione capace di prevenire, prima ancora che correggere, la circolazione indebita delle informazioni.