Garante italiano proíbe coleta de dados de saúde de funcionários pós-afastamento e aplica multa de €50 mil
Fonte: EDPB — European Data Protection Board | Jurisdição: União Europeia | Tipo: Notícia
Background information Date of final decision: 10 July 2025 National case Controller: Magna PT S.p.A. Legal Reference(s): Article 5 (Principles relating to processing of personal data), Article 6 (Lawfulness of processing), Article 9 (Processing of special categories of personal data), Article 13 (Information to be provided where personal data are collected from the data subject) Decision: Administrative fine, Definitive ban on data processing Key words: Administrative fine, Principles relating to processing of personal data, Transparency, Retention time, Lawfulness of processing, Employment Summary of the Decision Origin of the case A trade union report highlighted a widespread practice within an automotive company: after an absence due to illness, accident or hospitalisation, workers were interviewed and asked to complete a questionnaire. The document, completed by a direct supervisor, was then sent to the Human Resources Department, which, together with the supervisor and/or the competent doctor, assessed, on the basis of the company’s representations, any initiatives to protect the health of workers, such as modifying the workstation or intervening in working relationships. Key Findings During the investigation, the Italian Supervisory Authority (SA) found several infringements of the EU Regulation (GDPR), including the lack of clear and transparent information for employees and the lack of a legal basis for data processing, including health data. The Italian SA also found that workers’ data were being stored in an irrelevant (absences from work) and disproportionate (up to ten years) manner, and that the data processing was not relevant for assessing the professional skills of the employees. Decision The Italian SA imposed a definitive ban on data processing and ordered the company to delete any data already collected and stored. The Italian SA also issued an administrative fine of 50 000 Euro. For further information: Lavoro, il Garante privacy sanziona un’azienda per questionari post-malattia
A Autoridade Supervisora Italiana (Garante della Privacy) aplicou sanção administrativa a empresa do setor automotivo (Magna PT S.p.A.) por prática sistemática de processamento de dados pessoais de trabalhadores. Após ausências por doença, acidente ou hospitalização, a empresa coletava questionários preenchidos por supervisores diretos e encaminhava à área de Recursos Humanos para avaliação de medidas de proteção à saúde. A investigação identificou múltiplas violações ao GDPR: (i) ausência de informações claras e transparentes aos empregados; (ii) falta de base legal para processamento, incluindo dados de saúde (Artigos 5, 6 e 9 do GDPR); (iii) retenção desproporcional de dados (até dez anos) e irrelevante para avaliação de competências profissionais. A decisão definitiva de 10 de julho de 2025 impôs multa administrativa de €50.000 e proibição definitiva do processamento de dados, com ordem de exclusão de todos os dados coletados. A decisão reforça jurisprudência europeia sobre proteção de dados de saúde em contexto laboral, exigindo consentimento explícito e base legal clara para processamento de categorias especiais de dados, mesmo em relações de trabalho.
Fonte original: EDPB — European Data Protection Board