Pillole di Privacy. “Il trattamento dei dati personali nella PA”

di Salvatore Efisio Ximenes, (Referente Privacy, www.cislregionesardegna.it )

Il Regolamento UE 679/2016, più noto come GDPR, stabilisce regole chiare riguardo all’utilizzo dei dati personali i quali possono essere trattati se sussistono le basi giuridiche elencate dall’articolo 6 del GDPR e solo se la finalità del trattamento sia considerata lecita dall’ordinamento giuridico.        Da ciò ne deriva che, la Pubblica Amministrazione in quanto Datore di lavoro, quando è chiamata a trattare i dati personali dei pubblici dipendenti, deve rispettare sempre i principi del trattamento sanciti dall’articolo 5 del GDPR. Tra questi si evidenziano:

•  il principio di minimizzazione il quale prevede che non si possono mai raccogliere più dati di quelli necessari rispetto alla finalità perseguita
•  il principio della limitazione ossia, la conservazione dei dati non deve eccedere il tempo necessario per raggiungere lo scopo


Per meglio comprendere la normativa citiamo il caso di una Pubblica Amministrazione che voglia attuare un servizio di newsletter per aggiornare dipendenti e utenti sulle novità relative alle proprie attività istituzionali. Ora, individuata la corretta base giuridica che, per esclusione non potrà essere che il consenso, e la finalità, la PA titolare del trattamento dei dati, dovrà rispettare i principi ex art. 5 GDPR, dalla minimizzazione alla limitazione di finalità. Ciò significa che potrà raccogliere e trattare solo i dati personali necessari per l’invio delle newsletter come nome, cognome e indirizzo di posta elettronica degli interessati con esclusione invece, di dati ultreriori e superflui quali per esempio, il numero di telefono e l’indirizzo di residenza che costituirebbero un trattamento eccedente.


Il Garante della Privacy è intervenuto inoltre con ordinanze in altri casi specifici riguardanti la tutela del lavoratore che qui citiamo a titolo esemplificativo e non esaustivo.
Pertanto, la semplice affissione e, per estensione qualunque forma di condivisione di un foglio cartaceo o digitale recante accanto al nome e cognome di un dipendente il motivo della sua assenza dal lavoro (malattia, 104, permesso sindacale ecc), anche a titolo di sigla o abbreviazione equivale a illecita diffusione di dati personali particolari laddove rivelino informazioni sulla appartenenza sindacale o sullo stato di salute.


Questa è la sintesi del recente provvedimento del Garante della Privacy n.° 363 del 23 giugno 2025 che va quindi a confermare un precedente indirizzo della medesima Autorità Garante espresso con le Linee guida in materia di trattamento dati personali in ambito pubblico del 14 giugno 2007.

Pertanto i dipendenti non sono legittimati a conoscere dati e informazioni personali sulle assenze dei colleghi e, laddove questo accada, costituirebbe illecito per violazione del principio di minimizzazione e per assenza dei presupposti di liceità sanciti dall’articolo 9 del GDPR.