ITA Airways e Alitalia sanzionate per trasferimento illecito dati dipendenti
Con provvedimento del 4 marzo 2026 (doc. web n. 10230206), il Garante per la protezione dei dati personali ha sanzionato ITA Airways con 1 milione di euro e Alitalia in Amministrazione Straordinaria con 250.000 euro per il trasferimento illecito e massivo dei dati personali dei dipendenti del comparto Aviation.
L'istruttoria ha accertato che Alitalia ha condiviso con ITA Airways, tramite una cartella SharePoint condivisa, i fascicoli personali dell'intero organico. I documenti contenevano informazioni estremamente sensibili: dati retributivi, carichi familiari, contenziosi in corso e provvedimenti di reintegra giudiziaria. Il trasferimento è avvenuto prima ancora che i lavoratori si candidassero per un posto nella nuova compagnia aerea, configurando così un trattamento di dati privo di qualsiasi finalità legittima.
Il Garante ha riscontrato la totale assenza di una base giuridica ai sensi dell'art. 6 GDPR – non essendovi formalmente alcuna cessione di ramo d'azienda – nonché la mancata informativa agli interessati, in violazione degli artt. 13 e 14 GDPR. L'intera operazione è risultata inoltre in contrasto con i principi fondamentali di correttezza, minimizzazione e limitazione delle finalità di cui all'art. 5 GDPR.
Questo provvedimento ribadisce un principio essenziale: nei processi di riorganizzazione aziendale, i dati dei lavoratori non possono essere condivisi liberamente tra soggetti giuridici distinti senza una valida base giuridica e un'adeguata informativa. Un aspetto critico per ogni azienda coinvolta in operazioni straordinarie.
Fonte: Garante per la protezione dei dati personali
https://www.garanteprivacy.it/garante/doc.jsp?ID=10230206
