Il datore di lavoro può intervistarmi sulla salute dopo la malattia?

Al rientro dalla malattia, il tuo capo può farti domande sulla tua salute? Il Garante Privacy ha vietato le “interviste post-malattia”, sanzionando un’azienda. Scopri i tuoi diritti.

Il rientro al lavoro dopo un periodo di assenza per malattia o infortunio è un momento delicato per ogni dipendente. A volte ci si sente ancora fragili, altre volte si teme di non riuscire a riprendere subito il ritmo. Un datore di lavoro attento e premuroso potrebbe pensare che un colloquio individuale, finalizzato a comprendere eventuali difficoltà e a facilitare il reinserimento, sia un gesto di supporto e una buona prassi gestionale. Ma cosa succede se questo colloquio si trasforma in un’intervista strutturata, con un modulo da compilare e domande che toccano la sfera della salute personale? Anche se mosso dalle migliori intenzioni, un datore di lavoro che indaga sulle condizioni di salute del proprio dipendente sta attraversando una linea rossa, protetta da normative molto rigorose. La domanda che sorge è fondamentale per la tutela dei propri dati più personali:

il datore di lavoro può intervistarmi sulla salute dopo la malattia e raccogliere queste informazioni? Con un importante provvedimento, il Garante per la protezione dei dati personali ha risposto con un secco “no”, chiarendo che neanche la buona fede può giustificare la violazione delle regole a protezione dei dati sanitari dei lavoratori.

La pratica aziendale sanzionata dal Garante

Il Garante per la protezione dei dati personali è intervenuto su una prassi gestionale, denominata

“Return to work interview”, adottata da un’azienda metalmeccanica (provvedimento 390/2025 del 10 luglio). Questa procedura prevedeva che ogni lavoratore, al rientro da un periodo di malattia, infortunio o ricovero, sostenesse un colloquio con il proprio responsabile diretto. Durante l’incontro, veniva compilato un modulo cartaceo che veniva poi trasmesso all’ufficio Risorse Umane. L’azienda si è difesa sostenendo che lo scopo era nobile: favorire il reinserimento del dipendente e individuare eventuali difficoltà organizzative o relazionali. Il Garante, tuttavia, ha ritenuto la pratica illecita, comminando una sanzione di 50.000 euro e ordinando la cancellazione dei dati raccolti.

L’assenza di una valida base giuridica per il trattamento dei dati

La procedura è stata giudicata illecita in quanto priva di una valida base giuridica che ne legittimasse l’attuazione, in violazione degli articoli 6 e 9 del GDPR. Il datore di lavoro non poteva giustificare la raccolta di dati, anche potenzialmente sensibili come quelli sulla salute, sulla base di nessuna delle seguenti motivazioni:

Nel contesto di un rapporto di lavoro, caratterizzato da un’intrinseca asimmetria di potere, il consenso del dipendente non è, di norma, considerato liberamente prestato e quindi non costituisce una base giuridica valida.

L’obbligo di tutela della salute (art. 2087 Codice Civile)

non autorizza il datore di lavoro a raccogliere direttamente e in modo discrezionale dati sanitari.

Il legittimo interesse del datore di lavoro non può mai essere invocato per giustificare il trattamento di categorie particolari di dati, come quelli relativi alla salute.

La competenza esclusiva del medico competente

L’ordinamento italiano affida la gestione della sorveglianza sanitaria e la valutazione dell’idoneità lavorativa in modo esclusivo a una figura specializzata: il medico competente. Come previsto dall’articolo 41 del D.Lgs. 81/2008, è il medico l’unico soggetto autorizzato a trattare i dati clinici del lavoratore, a visitarlo e a stabilire se e come può riprendere la sua attività, suggerendo eventuali prescrizioni (ad esempio, una limitazione nella movimentazione dei carichi). Il datore di lavoro ha il diritto di ricevere solo il giudizio di idoneità (idoneo, non idoneo, idoneo con limitazioni), ma non può conoscere la diagnosi o i dettagli sanitari. La pratica dell’intervista post-malattia, quindi, si configurava come un’indebita ingerenza in un campo di competenza esclusiva del medico.

Le altre violazioni del GDPR contestate dal Garante

Oltre alla mancanza di una base giuridica, il Garante ha censurato la procedura aziendale per la violazione di altri tre principi cardine del Regolamento europeo sulla privacy:

1. violazione della trasparenza: l’informativa fornita ai lavoratori era scarna e inadeguata. I dipendenti non erano messi in condizione di comprendere chiaramente lo scopo del trattamento, chi avrebbe avuto accesso ai dati (il modulo parlava genericamente di “persone presenti”) e quali fossero i loro diritti;
2. violazione della minimizzazione dei dati: molte delle informazioni richieste nel modulo erano ridondanti, in quanto già in possesso dell’azienda (come il motivo e la durata dell’assenza). La raccolta di ulteriori dati tramite un colloquio con il responsabile diretto non era giustificata da reali necessità e risultava eccessiva;
3. violazione della limitazione della conservazione: la policy aziendale prevedeva di conservare i moduli per un massimo di dieci anni, un termine giudicato dal Garante del tutto sproporzionato rispetto alla finalità dichiarata di favorire il reinserimento lavorativo.

Le buone intenzioni dell’azienda possono giustificare la violazione?

Il Garante Privacy ha ribadito che la buona fede del datore di lavoro o la nobiltà delle finalità perseguite non sono sufficienti a sanare un trattamento di dati illecito. La disciplina della privacy, specialmente quando riguarda dati così delicati come quelli sulla salute, non ammette deroghe o scorciatoie basate sulle intenzioni. Ogni trattamento deve essere progettato “a monte”, nel pieno rispetto dei principi di liceità, trasparenza, minimizzazione e proporzionalità. Sottovalutare la rigidità di queste regole, anche agendo con l’intento di proteggere il lavoratore, espone l’azienda a rischi significativi in termini di sanzioni economiche e di danno reputazionale.