Costa caro non rispondere adeguatamente a una istanza di accesso privacy. È quanto emerge dalla lettura del provvedimento del 4 marzo 2026 n. 152 attraverso il quale l’Autorità Garante per la protezione dei dati personali ha sanzionato le due note compagnie aree per illecito trattamento di dati personali riguardante i dipendenti della nota compagnia, e quindi disattendo i principi del GDPR.
Andiamo per gradi.
Indice degli argomenti
Sanzioni privacy a ITA e Alitalia: i punti centrali
Il Garante privacy ha irrogato due multe salate per un totale di 1,25 milioni di euro da un lato nei confronti di ITA (1milione) e dall’altro di Alitalia (250mila) nel periodo in cui era in amministrazione straordinaria, per un trattamento illecito di dati personali di dipendenti.
Nello specifico, il provvedimento in parola ha riguardato la gestione delle informazioni dei lavoratori durante la fase di transizione tra la vecchia compagnia di bandiera cedente e la società cessionaria.
Il caso si inserisce, quindi, nel contesto della complessa transizione tra Alitalia e ITA Airways, avvenuta nel quadro delle condizioni poste dalla Commissione europea per autorizzare la nascita della nuova compagnia aerea; e l’istruttoria dell’Autorità era stata avviata, infatti, a seguito di una segnalazione presentata nel luglio 2023 da un rappresentante sindacale in cui denunciava la trasmissione di fascicoli dei dipendenti/interessati senza il consenso degli stessi e comunque senza una idonea base giuridica.
L’istruttoria del Garante privacy: i fatti
Anzitutto le circostanze di fatto. Dalla lettura del provvedimento notiamo come il Segnalante, dipendente di Alitalia nonché rappresentante legale del sindacato ha proposto diverse istanze al fine di ottenere una diversa qualificazione giuridica del “contratto di cessione di complessi di beni e contratti” tra Alitalia da un lato, e ITA dall’altro, sostenendo che la cessione sarebbe stata una “simulazione di un vero e proprio contratto di cessione di ramo d’azienda” con evidenti differenti ricadute sul piano giuslavoristico (art. 2112 cc) e annesse garanzie, tra cui in primis la continuazione del rapporto di lavoro con il cessionario e relativa conservazione di tutti i diritti che ne derivano.
Cosa che in caso di mera cessione di beni e contratti – altro istituto – non sarebbero contemplati.
Per evitare dunque che l’operazione fosse qualificata come “trasferimento di ramo di azienda”, ipotesi che avrebbe comportato, tra gli altri, il passaggio automatico dei rapporti di lavoro, le due società avevano sostenuto la tesi della “sola cessione di beni e contratti”, qual segno della discontinuità aziendale.
Nel caso di specie, come si legge nel provvedimento “ITA ha avuto accesso potenziale ai dati dei dipendenti che facevano parte del comparto Aviation ma, in considerazione della necessità di procedere speditamente e in brevissimo tempo ai processi di contrattualizzazione, ha concretamente utilizzato per i propri fini i dati dei soli ex dipendenti Alitalia che si sono candidati sulla piattaforma CVing e che lì sono stati selezionati”.
Quindi, l’accesso a tali informazioni è avvenuto per il tramite di una cartella informatica condivisa, così consentendo di consultare i dati dei lavoratori prima che questi presentassero eventuali candidature per essere assunti da ITA.
Assenza di idonea base giuridica e mancata informativa
Gravi sono le violazioni emerse nel corso dell’istruttoria del Garante. Tra queste emerge un trattamento effettuato in assenza di idonea base giuridica, dal momento che la circolazione dei dati tra le due società è avvenuta in difetto con il principio di liceità e correttezza del trattamento previsto dall’art. 5, par. 1, lett. a), con obbligo di individuare una valida base giuridica ai sensi dell’art. 6 GDPR.
É emerso infatti, che durante la condivisione dei dati di dipendenti del comparto “Aviation” di Alitalia a Ita non sussistesse una idonea condizione di liceità del trattamento in carenza di un’adeguata informativa fornita.
Un’informativa è stata condivisa soltanto in occasione del riscontro alla istanza di accesso ai dati del reclamante (17 giugno 2023), cioè a seguito della presentazione della segnalazione dinanzi all’Autorità e dopo l’invio, da parte della medesima, di una richiesta di informazioni.
Di qui, l’Autorità sostiene che tale requisito non possa ritenersi soddisfatto e cioè a dire “attraverso il mero rinvio a quanto contenuto nell’informativa sul trattamento dei dati di cui agli artt. 13 e 14 del Regolamento, senza che vi sia alcun riferimento al trattamento effettuato nel concreto”.
Non solo, il Garante richiama anche le Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso dell’EDPB, a mente delle quali “il diritto di accesso e il diritto di ricevere la c.d. informativa, seppur correlati, sono, infatti, diritti differenti, sanciti da distinte disposizioni dell’ordinamento, rispondenti a esigenze di tutela e garanzia dell’interessato non completamente sovrapponibili”. Perfettamente condivisibile.
Differenze tra diritti di accesso privacy e quello documentale
Con riferimento alla più ampia tematica sul diritto di accesso, è appena il caso di ricordare come sia strutturale la differenza che intercorre tra il diritto di accesso ai dati e quello più tipicamente “documentale”, connesso all’onere di esibizione.
Si tratta infatti di istanze ontologicamente diverse con contenuti differenti come risulta peraltro dal consolidato – e più volte dal Garante richiamato – orientamento giurisprudenziale, in base al quale il diritto di accesso “non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che lo scopo del [diritto] è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale” (cfr. Corte di Cass. 14 dicembre 2018, n. 32533).
In altre parole, non sono diritti con razionali sovrapponibili, e per quanto qui interessa il diritto di accesso ex art 15 GDPR deve essere sempre garantito, rispondendo a una logica di trasparenza nonché di liceità e correttezza, in assenza della quale palesi saranno le violazioni in punto dati.
Ristrutturazione aziendale e attenzione alla gestione dei dati
Il provvedimento in questione consente di riporre l’attenzione su un tema particolarmente delicato: la gestione dei dati personali dei lavoratori nelle operazioni di riorganizzazione aziendale.
Anche in contesti di transizione societaria complessi, come quelli che abbiamo finora analizzato, la circolazione di dati personali dei dipendenti deve avvenire nel rispetto dei principi fondamentali del GDPR.
Il caso rappresenta dunque un ulteriore esempio di come, nell’ambito dei rapporti di lavoro, la condivisione dei dati personali tra soggetti giuridicamente distinti, richieda sempre un’attenta valutazione tanto della corretta individuata base giuridica quanto delle modalità di trattamento che richiedono sempre una sostanziale conformità al GDPR.
