Privacy e benessere psicologico dei dipendenti: il welfare aziendale non può trasformarsi in controllo
Con il provvedimento n. 342 del 14 maggio 2026, il Garante Privacy è intervenuto sul caso di una piattaforma utilizzata per offrire servizi di supporto psicologico ai lavoratori. La decisione contiene indicazioni che vanno ben oltre il caso specifico e interessano tutte le aziende che stanno investendo in programmi di welfare, wellbeing e salute mentale.
Il messaggio dell’Autorità è semplice: promuovere il benessere psicologico dei dipendenti è certamente un obiettivo legittimo, ma non può comportare la raccolta, diretta o indiretta, di informazioni sulla loro condizione psicologica, emotiva o sanitaria.
Si tratta di un tema particolarmente delicato perché coinvolge dati appartenenti alle categorie particolari previste dall’art. 9 del GDPR e si colloca all’interno di un rapporto – quello di lavoro – caratterizzato da un evidente squilibrio tra le parti.
Il Garante parte dal presupposto che molte organizzazioni stanno introducendo piattaforme digitali che offrono test di autovalutazione, percorsi di coaching, supporto psicologico, strumenti di monitoraggio dello stress o programmi di wellbeing personalizzati.
Il rischio nasce quando il datore di lavoro, anche senza accedere ai contenuti delle sessioni, può ottenere informazioni che consentano di dedurre lo stato psicologico dei lavoratori, il livello di stress, la presenza di situazioni di fragilità o altre condizioni riconducibili alla salute.
In questi casi le criticità possono essere molteplici:
- trattamento illecito di dati appartenenti a categorie particolari;
- utilizzo di una base giuridica non adeguata;
- violazione dei principi di minimizzazione e limitazione delle finalità;
- profilazione dei dipendenti;
- insufficiente separazione tra attività di welfare e poteri organizzativi del datore di lavoro;
- mancata effettuazione della valutazione d’impatto (DPIA).
A ciò si aggiunge un ulteriore profilo spesso sottovalutato: il rischio reputazionale. I lavoratori devono percepire questi strumenti come un’opportunità di supporto e non come un meccanismo attraverso il quale l’azienda possa conoscere aspetti della loro sfera personale.
Il provvedimento suggerisce alcune verifiche preventive che dovrebbero diventare parte integrante di ogni progetto di wellbeing aziendale.
Primo: mappare con precisione i dati trattati dalla piattaforma. Non basta verificare quali informazioni vengono raccolte; occorre comprendere quali dati possono essere inferiti attraverso report, statistiche e sistemi di analisi.
Secondo: verificare che il datore di lavoro non possa accedere a dati individuali riferibili ai singoli dipendenti. Eventuali report dovrebbero essere aggregati e strutturati in modo da escludere qualsiasi rischio di reidentificazione.
Terzo: definire correttamente ruoli e responsabilità tra azienda, fornitore della piattaforma e professionisti coinvolti nell’erogazione del servizio.
Quarto: effettuare una DPIA ogni volta che il trattamento presenti rischi elevati per i diritti e le libertà degli interessati, circostanza che ricorre frequentemente quando vengono trattati dati relativi alla salute o al benessere psicologico.
Quinto: applicare concretamente il principio di privacy by design, coinvolgendo le funzioni legali, HR, compliance e IT già nella fase di selezione della soluzione tecnologica.
Il provvedimento del Garante dimostra che i progetti di welfare aziendale non possono essere valutati esclusivamente sotto il profilo organizzativo o delle risorse umane.
La tutela del benessere dei lavoratori rappresenta un valore crescente per le imprese, ma richiede modelli di governance capaci di garantire una netta separazione tra supporto alla persona e potere datoriale.
In altre parole, il problema non è offrire servizi di supporto psicologico ai dipendenti. Il problema nasce quando, attraverso tali servizi, l’azienda può acquisire informazioni che non dovrebbe conoscere.
È proprio su questo confine che si giocheranno le future verifiche dell’Autorità e che le imprese dovranno concentrare le proprie attività di compliance.
Avv. Juri Monducci