Analisi del Provvedimento del Garante per la Protezione dei Dati Personali n. 571 dell’11 settembre 2025. La formazione è un patrimonio della persona, non un capitale dell’impresa.
1. Premessa normativa
2. Il fatto
3. Il quadro giuridico: il diritto alla disponibilità del dato
4. Correlazione con l’art. 2087 c.c. e con il D.Lgs. 81/2008
5. Il contenuto del Provvedimento 571/2025: la posizione del Garante
6. Obblighi pratici per i datori di lavoro e per gli enti formatori
7. La natura personale dell’attestato
8. La cultura della legalità e della trasparenza
1. Premessa normativa
Nel sistema giuridico italiano la formazione in materia di salute e sicurezza sul lavoro, disciplinata dagli artt. 37 e 55 del D.Lgs. 9 aprile 2008, n. 81, costituisce un obbligo giuridico a carico del datore di lavoro e, al tempo stesso, un diritto soggettivo del lavoratore alla propria integrità fisica e alla consapevolezza dei rischi connessi alle mansioni svolte.
L’attestato rilasciato al termine del percorso formativo, previsto dagli Accordi Stato-Regioni, ex art 37 D.Lgs. n. 81/2008, ha una duplice natura:
- documentale-amministrativa, quale prova dell’adempimento datoriale;
- personale-professionale, quale certificazione delle competenze acquisite dal lavoratore.
È su questa seconda dimensione che interviene il Garante per la Protezione dei Dati Personali con il Provvedimento n. 571 dell’11 settembre 2025, stabilendo un principio destinato ad avere notevoli ricadute operative:
“Gli attestati di formazione contengono dati personali riferibili ai lavoratori, la cui disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro”.
2. Il fatto
Nel caso sottoposto al GPDP, è emersa la seguente situazione: un’organizzazione – titolare del trattamento – aveva mantenuto esclusivamente la copia dell’attestato di formazione relativa alla lavoratrice quale documento interno, senza rilasciare al lavoratore l’originale o una propria copia nonché senza informarlo della possibilità di accedere e ottenere tale documento.
Il Garante osserva che:
«La mancata consegna degli attestati di formazione al lavoratore, nonché la loro conservazione esclusiva presso il titolare del trattamento, configurano una modalità di gestione dei dati personali che non consente all’interessato l’effettivo esercizio del diritto di accesso né la disponibilità del proprio documento formativo.» (Provv. n. 571/2025, Considerato n. 3)
In particolare, l’Autorità rileva che gli attestati formativi contengono “dati personali riferibili ai lavoratori” e che la “disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro”.
«Gli attestati di formazione e i relativi registri contengono dati personali riferibili ai lavoratori, la cui disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro.» (Provv. n. 571/2025, Considerato n. 4)
Il titolare del trattamento non aveva previsto una procedura di rilascio né un’adeguata informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR), né aveva predisposto un registro che registrasse la consegna dell’attestato alla lavoratrice. Il Garante sottolinea che tale omissione contravviene ai principi di “trasparenza” e “limitazione della finalità” dell’art. 5, par. 1, lett. a) e b) del GDPR:
«La conservazione della documentazione formativa esclusivamente in archivio aziendale, in assenza di idonee modalità di accesso e di rilascio al lavoratore, viola i principi di correttezza e trasparenza, nonché la finalità dichiarata del trattamento.» (Provv. n. 571/2025, Considerato n. 6)
In conclusione, l’evento accertato è costituito dalla mancata consegna all’interessato dell’attestato di formazione, associata alla trattenuta esclusiva del documento da parte del datore, impedendo alla lavoratrice di ottenere copia o originale, e dunque ostacolando il pieno esercizio del diritto di accesso e disponibilità del proprio dato personale formativo.
Il Provvedimento cosi dispone:
“La condotta della Società, nei termini sopra esposti, è pertanto avvenuta in violazione dell’art. 15 del Regolamento laddove stabilisce “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).
Inoltre la Società ha agito in violazione dell’art. 12 del regolamento, quanto alle modalità con le quali il riscontro avrebbe dovuto essere fornito all’interessata.
La condotta è altresì avvenuta in violazione del principio generale di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento, che costituisce uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro.
Si prende atto, in ogni caso, della volontà di collaborazione manifestata dalla Società, dopo l’avvio dell’attività istruttoria da parte del Garante e l’invio dell’invito ad aderire rivolto alla Società (il 10/12/2024), in relazione al quale quest’ultima ha provveduto ad inviare alla reclamante, con comunicazione del 17 gennaio 2025, copia degli attestati di formazione trasmessi da XXX (a seguito di richiesta avanzata il 12/6/2024, secondo quanto dichiarato), nonché copia del certificato medico di idoneità redatto dal medico competente il 3/4/2024.
Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso ai dati personali della reclamante avanzata dapprima in data 8 e 11 giugno 2024 e, successivamente, il 26 agosto 2024, fino alla data del 17 gennaio 2025, nel corso del procedimento davanti al Garante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.
La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti.
L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito…
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:
- in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento in ragione dell’interesse protetto dalle norme violate (principi generali del trattamento e disposizioni relative all’esercizio dei diritti);
- in relazione alla durata della violazione, questa si è protratta per circa sette mesi;
- in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato trattamenti effettuati nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra il titolare e gli interessati;
- in relazione al numero di interessati concretamente coinvolti, è stata presa in considerazione la circostanza che la violazione ha riguardato un’interessata;
- con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni;
- come fattore attenuante, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo, in particolare l’adozione di misure per attenuare la limitazione del diritto da parte dell’interessata, con riguardo all’invio alla reclamante, nel corso del procedimento, dei dati personali oggetto della richiesta di accesso.
Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento) le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene pertanto di applicare, nei confronti di YYY S.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 1.000 (mille)”.
3. Il quadro giuridico: il diritto alla disponibilità del dato
Il Regolamento (UE) 2016/679 (GDPR), all’art. 4, n. 1, definisce come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
L’art. 15 riconosce all’interessato il diritto di accesso e di ottenere “una copia dei dati personali oggetto di trattamento”.
Applicando tali principi al contesto formativo, l’attestato di formazione non è un documento “aziendale”, bensì una manifestazione documentale di un dato personale: attesta competenze riferibili in modo univoco al lavoratore.
Il Garante, coerentemente, ha affermato che il datore di lavoro, in qualità di titolare del trattamento, non può negare o limitare la consegna dell’attestato al lavoratore, neppure in caso di cessazione del rapporto. La copia o l’originale devono essere rilasciati su richiesta, “in formato intellegibile e completo”, ai sensi dell’art. 15, par. 3 GDPR.
4. Correlazione con l’art. 2087 c.c. e con il D.Lgs. 81/2008
L’ art. 2087 c.c. obbliga l’imprenditore ad adottare “tutte le misure necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”.
La Corte di Cassazione (Sez. Lav., 4 gennaio 2023, n. 174) ha ribadito che tale norma costituisce “una clausola generale di chiusura dell’intero sistema di prevenzione”.
In questa prospettiva, la formazione documentata e tracciabile rientra nel perimetro delle misure di protezione della persona, e la consegna dell’attestato ne rappresenta l’atto conclusivo e necessario.
Trattenere l’attestato o impedirne la disponibilità integra una violazione non solo del GDPR, ma anche dell’ art. 2087 c.c., perché nega al lavoratore la possibilità di far valere e utilizzare la propria qualificazione professionale ai fini della tutela della salute e della sicurezza.
5. Il contenuto del Provvedimento 571/2025: la posizione del Garante
Nel provvedimento citato, il Garante ha esaminato diversi casi di gestione impropria di dati dei lavoratori in ambito formativo e ha affermato che:
“La mancata consegna degli attestati o la loro conservazione esclusiva presso l’organizzazione costituisce una violazione dei principi di trasparenza, correttezza e limitazione della finalità (art. 5, par. 1, lett. a e b, GDPR).”
Il principio espresso dal Garante non ha carattere episodico, ma sistemico: si estende a tutte le tipologie di formazione obbligatoria (preposti, RSPP, addetti emergenze, lavoratori, dirigenti, datori di lavoro, “patentini”, ecc.) e comporta obblighi concreti per i datori di lavoro.
6. Obblighi pratici per i datori di lavoro e per gli enti formatori
Alla luce del Provvedimento 571/2025, i soggetti titolari del trattamento devono:
- Rilasciare l’attestato in originale al lavoratore al termine del corso, con sottoscrizione per ricevuta.
- Conservare copia conforme nel fascicolo aziendale, specificando nell’informativa privacy la finalità e i tempi di conservazione.
- Garantire l’accesso successivo del lavoratore ai propri dati formativi, anche se non più in forza.
- Predisporre procedure di rilascio sicure, in formato cartaceo o digitale, che assicurino l’integrità del documento.
- Evitare il trattamento eccedente dei dati personali contenuti negli attestati, in linea con il principio di minimizzazione (art. 5, par. 1, lett. c GDPR).
In caso di mancata ottemperanza, il Garante può applicare le sanzioni amministrative pecuniarie di cui all’art. 83 GDPR (fino a 20 milioni di euro o al 4% del fatturato annuo mondiale).
7. La natura personale dell’attestato
La formazione obbligatoria di salute e sicurezza sul lavoro ha natura individuale. L’adempimento formativo non è soddisfatto da una mera attestazione formale, ma deve rispondere a criteri di effettività e personalizzazione. La formazione è misura di prevenzione personale e intrasferibile.
L’attestato di abilitazione costituisce titolo individuale e non può essere trattenuto dall’amministrazione o dal datore se richiesto dal soggetto interessato.
Il Provvedimento del Garante si colloca perfettamente in questa linea interpretativa: l’attestato non appartiene all’archivio aziendale, ma alla persona fisica che lo ha conseguito.
Peraltro, ovviamente, la Cassazione penale Sez. III sentenza n. 37312 del 9 settembre 2014, ha stabilito che “l’onere della prova dell’avvenuta formazione del lavoratore ai sensi dell’articolo 37 del Decreto Legislativo n. 81 del 2008 grava sul datore di lavoro, il quale è tenuto a conservare in azienda l’attestazione documentale della formazione effettuata“.
8. La cultura della legalità e della trasparenza
Il messaggio del Garante è limpido: il diritto alla disponibilità dei propri dati personali si estende a ogni documento che rappresenti competenze, abilità o esperienze maturate dal lavoratore.
Ne discende un principio generale di civiltà giuridica: la formazione è patrimonio della persona, non capitale dell’impresa.
Restituire e valorizzare gli attestati non è soltanto un obbligo di legge, ma un gesto di rispetto verso il lavoratore e un segno di autentica cultura della sicurezza. L’impresa che riconosce questo diritto dimostra di aver compreso che la prevenzione non è un atto burocratico, ma un dovere etico e giuridico permanente.
Riferimenti normativi
Regolamento (UE) 2016/679, artt. 4, 5, 12–15, 83
D.Lgs. 9 aprile 2008, n. 81, artt. 18, 37, 55
Codice civile, art. 2087
GPDP, Provvedimento n. 571 del 11 settembre 2025
Scarica il documento citato nell’articolo:
Fonti: Puntosicuro.it, Rolando Dubini (Avvocato del Foro di Milano, Cassazionista, formatore)
