Il Garante Privacy interviene: l’invio collettivo di dati sui corsi non sostenuti viola la minimizzazione dei dati

Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento di ammonimento (n. 582/2025) nei confronti del Ministero della Giustizia, in relazione a una violazione dei principi di liceità e minimizzazione dei dati personali dei dipendenti.

La vicenda ruota attorno all’invio di una comunicazione via email, da parte della Procura della Repubblica presso il Tribunale di Milano, a una mailing list di 22 dipendenti, contenente un file riepilogativo con i loro nomi e l’elenco dei test (assessment) non ancora effettuati sulla piattaforma formativa Syllabus.

La violazione: perché la comunicazione collettiva è illecita

Il reclamo, presentato da un funzionario, ha evidenziato come l’invio cumulativo abbia reso i colleghi vicendevolmente edotti dello stato di avanzamento degli obblighi formativi di ciascuno.

Il Garante, con a capo il Presidente Prof. Pasquale Stanzione, ha confermato che questo tipo di trattamento è illegittimo per i seguenti motivi chiave:

• Violazione del Principio di Minimizzazione (Art. 5, par. 1, lett. c) del Regolamento UE 2016/679 – GDPR): Sebbene l’obiettivo fosse nobile (sollecitare i ritardatari), l’Amministrazione avrebbe dovuto utilizzare comunicazioni individualizzate. L’invio collettivo ha superato la necessità, rendendo noti a terzi (i colleghi) dati personali relativi a un adempimento lavorativo che è, per sua natura, individuale.

• Assenza di Base Giuridica per la Comunicazione a Terzi: I dipendenti destinatari non erano investiti di specifiche mansioni che giustificassero l’accesso alle informazioni sullo stato di formazione dei colleghi.

⚠️ La Posizione del Garante: L’Autorità ribadisce che i dati personali dei lavoratori, trattati per la gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro, o da chi è legittimato a trattarli per le mansioni assegnate.

Il contesto della procura e la scelta dell’ammonimento

Il Ministero della Giustizia ha tentato di giustificare l’operato richiamando le stringenti scadenze e le difficoltà logistiche dovute alla carenza di personale, oltre all’intenzione di favorire un “confronto e aiuto reciproco” tra i dipendenti.

Nonostante queste attenuanti, il Garante ha rilevato l’illiceità del trattamento, ma ha optato per un ammonimento formale anziché per una sanzione pecuniaria.

Fattori attenuanti per la qualificazione di “violazione minore”

La decisione di non sanzionare economicamente, ai sensi dell’Art. 83, par. 2, del GDPR, è stata influenzata da diversi fattori positivi:

1. Assenza di Giudizio di Disvalore: La comunicazione non conteneva un giudizio negativo esplicito sui dipendenti.

2. Tempestività e Cooperazione: L’Amministrazione ha mostrato piena cooperazione con l’Autorità e, subito dopo il reclamo, ha dato assicurazione che in futuro i dati sarebbero stati gestiti diversamente.

3. Adozione di Misure Correttive: Il Ministero ha adottato una specifica circolare interna per sensibilizzare i responsabili di settore sull’uso di comunicazioni individualizzate in presenza di dati personali.

Il Provvedimento conclude che la condotta, ormai esaurita nei suoi effetti, rientra in una “violazione minore” e l’ammonimento (Art. 58, par. 2, lett. b), del Regolamento) è la misura correttiva sufficiente.

Il Ministero della Giustizia, in persona del legale rappresentante pro-tempore, è stato quindi formalmente ammonito per la violazione degli artt. 5 e 6 del GDPR e del Codice.