Nel 2026 il Garante per la protezione dei dati personali ha ribadito una cosa che molte aziende continuano a raccontarsi male: mettere dati in una cartella condivisa non è un gesto neutro solo perché lo chiami messa a disposizione.
Il caso riguarda Italia Trasporto Aereo S.p.A. e Alitalia Società Aerea Italiana S.p.A. in amministrazione straordinaria, sanzionate per il trattamento illecito dei dati dei lavoratori del comparto Aviation nel passaggio operativo verso ITA.
Prima dell’avvio dell’operatività di ITA, Alitalia ha reso disponibili in una cartella SharePoint i fascicoli dei dipendenti del comparto Aviation. ITA, tramite un numero ristretto di soggetti dell’area HR, ha avuto accesso potenziale a quei dati e ne ha consultati circa 2000, cioè quelli poi corrispondenti alle persone effettivamente assunte.
Non basta dire “non c’è stata una vera comunicazione”, “i dati li vedevano solo cinque persone”, “serviva fare in fretta” o “era necessario per non bloccare il passaggio”. Se rendi disponibili fascicoli del personale a un altro datore o a un altro titolare senza una base giuridica solida e senza un’informativa adeguata, il problema non è semantico. Il problema è che stai facendo un trattamento illecito.
Aggiornamento al 24 aprile 2026 con taglio operativo. Non sostituisce la valutazione del legale privacy o del consulente sul caso concreto.
| Aspetto | Sintesi operativa |
|---|---|
| Cosa è successo | Alitalia ha messo a disposizione di ITA, tramite SharePoint, i fascicoli dei lavoratori del comparto Aviation. ITA, attraverso 5 persone HR autorizzate, ne ha consultati circa 2000. |
| Perché conta | Il Garante chiarisce che anche disponibilità e consultazione sono trattamento, e non possono poggiare su formule vaghe come buona fede, urgenza o messa a disposizione. |
| Cosa controllare subito | Base giuridica reale, informativa, perimetro dati, distinzione tra candidatura spontanea e dossier preesistenti, accessi, tempi e logica di condivisione. |
| Cosa evitare | Usare una cartella condivisa come scorciatoia per trasferire dossier del personale durante riorganizzazioni, cessioni o assunzioni rapide. |
Cosa è successo davvero nel 2026
Il riferimento ufficiale è il provvedimento del 4 marzo 2026, doc. web n. 10230206.
Dagli atti emerge che, nella fase preliminare all’avvio delle attività di volo di ITA, Alitalia ha messo a disposizione di ITA i file dei propri dipendenti rientranti nel perimetro Aviation attraverso una cartella SharePoint protetta, con accessi limitati ai referenti aziendali indicati da ITA.
| Elemento del caso | Cosa emerge | Perché conta |
|---|---|---|
| Soggetti coinvolti | Italia Trasporto Aereo S.p.A. e Alitalia SAI in amministrazione straordinaria. | Il flusso riguarda due soggetti distinti, con ruoli e basi da chiarire. |
| Strumento usato | Cartella SharePoint protetta. | La forma tecnica non elimina il trattamento se il dato è accessibile. |
| Perimetro iniziale | Fascicoli dei dipendenti del comparto Aviation. | Non si trattava solo di dati caricati spontaneamente in candidatura. |
| Accessi dichiarati | 5 dipendenti ITA autorizzati. | Un accesso ristretto non basta se manca la base giuridica. |
| Fascicoli consultati | Circa 2000 interessati. | Il dato è stato concretamente usato per persone poi assunte. |
| Fine uso | ITA ha dichiarato cessazione dell’uso nel dicembre 2021. | La durata del flusso non cancella la necessità di liceità a monte. |
| Esito Garante | Violazione degli artt. 5, 6, 12, 13, 14 e 15 GDPR. | Il problema coinvolge liceità, trasparenza, informativa e diritti. |
| Sanzioni | 1.000.000 euro a ITA e 250.000 euro ad Alitalia. | La condivisione documentale HR può avere impatto economico rilevante. |
Il passaggio centrale del provvedimento è questo: sia la condotta di Alitalia di mettere a disposizione i dati, sia la condotta di ITA di averli a disposizione e consultarli, costituiscono trattamento di dati personali.
Non puoi difenderti dicendo “non li abbiamo trasferiti davvero”. Se l’altro soggetto può accedervi, consultarli e usarli per una finalità propria, il trattamento c’è.
Quali dati erano disponibili
I dati disponibili comprendevano un perimetro ampio, molto più vicino a un fascicolo del personale che a un set minimo di candidatura.
| Dato disponibile | Esempio | Rischio |
|---|---|---|
| Dati anagrafici | Identità, recapiti, riferimenti personali. | Visibilità verso un soggetto diverso senza perimetro chiaro. |
| Dati contrattuali | Rapporto di lavoro, inquadramento, posizione. | Il nuovo soggetto accede a informazioni non sempre necessarie in fase preliminare. |
| Dati retributivi | RAL e condizioni economiche. | Dato ad alta sensibilità organizzativa, da minimizzare con attenzione. |
| Dati professionali | Incarico, anzianità, matricola, badge. | Possibile ricostruzione della storia lavorativa oltre la candidatura. |
| Dati organizzativi | Posizione e collocazione nel comparto Aviation. | Perimetro più largo rispetto al singolo processo di selezione. |
| Fascicolo preesistente | Dossier del precedente rapporto di lavoro. | La candidatura non autorizza automaticamente la consultazione dello storico. |
Un punto importante: non erano coinvolti solo lavoratori che avevano spontaneamente caricato la candidatura sulla piattaforma CVing. Risultavano messi a disposizione anche dati di dipendenti del comparto Aviation a prescindere dalla candidatura, compresi soggetti che non avevano partecipato alla selezione o che avrebbero potuto non essere assunti.
Il punto che molte aziende sbagliano ancora
L’errore più comodo è questo: “se non mando i file via mail e li metto solo in una cartella accessibile a pochi, non è una vera comunicazione”.
No. Il Garante chiarisce che il problema non è la forma del passaggio del dato. Il problema è la disponibilità concreta del dato a un soggetto diverso, per finalità proprie, in un contesto in cui devi poter spiegare con precisione:
- perché quel trattamento è lecito;
- quali dati servono davvero;
- a chi vanno resi disponibili;
- in quale momento;
- su quale base normativa o contrattuale;
- con quale informativa verso gli interessati.
Questo vale soprattutto quando l’azienda prova a giustificarsi con espressioni come operazione straordinaria, urgenza organizzativa, continuità operativa, selezione rapida, transizione o passaggio di consegne. Tutte formule che, prese da sole, non sostituiscono la base giuridica.
I 5 errori operativi che il caso mette a nudo
| Errore | Perché pesa | Controllo da fare |
|---|---|---|
| Confondere messa a disposizione e assenza di trattamento | Se l’altro soggetto può entrare, leggere e usare il fascicolo, il trattamento c’è. | Valuta accesso e consultazione come operazioni di trattamento, non come dettagli tecnici. |
| Usare l’urgenza come stampella | La fretta può spiegare il contesto, ma non crea una base giuridica. | Definisci prima base, informativa e perimetro, anche nei progetti straordinari. |
| Allargare il perimetro oltre i candidati effettivi | Rendere disponibili dati di non candidati o non assunti rompe il rapporto con la finalità. | Limita i dati alle persone che hanno attivato davvero il processo. |
| Pensare che pochi HR bastino a rendere lecito il flusso | La domanda non è solo quanti vedono il dato, ma perché vedono proprio quel dato. | Collega ogni accesso a ruolo, finalità e necessità concreta. |
| Costruire il repository prima della liceità | Prima si apre la cartella, poi si cerca una narrativa. | Progetta il perimetro legale e informativo prima del flusso tecnico. |
Quando il rischio diventa ancora più evidente
Ci sono casi in cui la posizione dell’azienda si indebolisce molto più in fretta.
| Scenario | Perché indebolisce l’azienda | Verifica |
|---|---|---|
| Dossier consultati prima o fuori dalla candidatura | Il dato non nasce da una richiesta dell’interessato nel nuovo processo. | Il soggetto ha davvero attivato la selezione o il passaggio? |
| Nessun trasferimento di ramo | Non puoi ragionare come se il rapporto si trasferisse automaticamente. | Qual è la base specifica per ogni dato condiviso? |
| Dati retributivi e organizzativi profondi | Il perimetro supera il minimo necessario. | RAL, badge, anzianità e posizione servono davvero subito? |
| Repository usato per finalizzare assunzioni | La cartella diventa scorciatoia per una due diligence HR poco governata. | Puoi ottenere i documenti direttamente dal candidato? |
| Informativa poco chiara | L’interessato non capisce chi vede cosa e perché. | L’informativa descrive il flusso reale tra vecchio e nuovo soggetto? |
| Basi giuridiche invocate insieme | Elencare più basi non equivale a scegliere quella corretta. | Hai identificato una base vera per quello specifico passaggio? |
| Repository come anticamera dei sistemi HR | Il dato preesistente entra nel nuovo ambiente prima di essere necessario. | Il dato storico è separato dal dato raccolto nella candidatura? |
Checklist pratica 2026 prima di condividere dossier del personale
Prima di aprire cartelle, data room o repository condivisi, controlla almeno questi punti.
| Controllo | Domanda pratica | Esito atteso |
|---|---|---|
| Base giuridica | Qual è la base specifica del trattamento per quel dato e quel passaggio? | Non un elenco di basi possibili, ma una base motivata. |
| Perimetro soggetti | Riguarda solo candidati o persone che hanno attivato davvero il processo? | Niente dossier di non candidati o non selezionati. |
| Minimizzazione | I dati condivisi sono davvero il minimo necessario? | Non si gira mezzo fascicolo solo per comodità. |
| Informativa | L’interessato sa chi vede cosa e perché? | Trasparenza chiara prima della consultazione. |
| Separazione dati | Hai distinto candidatura e archivio documentale storico? | La candidatura non spalanca automaticamente tutto il fascicolo. |
| Accessi e tempi | Esistono regole scritte su accessi, durata e uso successivo? | Il repository non vive più della necessità concreta. |
| Alternativa diretta | Il nuovo soggetto può ottenere i documenti dal candidato? | La cartella condivisa non diventa scorciatoia predefinita. |
Se oggi una parte dei processi HR passa ancora da dossier sparsi, cartelle condivise e scambi poco governati, può essere utile portare richieste, ruoli e flussi in un sistema più ordinato come app team e richieste invece di lasciare passaggi critici appesi a repository documentali nati per tappare buchi.
Come impostarla in modo più pulito lato processo
Se vuoi tenere insieme rapidità operativa e conformità, il flusso più pulito tende ad assomigliare a questo.
| Area | Regola pulita | Cosa evita |
|---|---|---|
| Raccolta documenti | Il candidato fornisce direttamente al nuovo soggetto i documenti necessari. | Evita apertura generalizzata del fascicolo storico. |
| Vecchio titolare | Non apre il fascicolo intero solo perché la transizione è urgente. | Riduce dati non necessari e responsabilità sul passaggio. |
| Repository | Se esiste, ha perimetro minimale, tempi stretti e finalità documentate. | Evita cartelle permanenti con accessi opachi. |
| Separazione dati | Dato preesistente e dato raccolto in candidatura restano distinti. | Evita che la candidatura diventi lasciapassare per tutto lo storico. |
| Accessi | I ruoli sono limitati e giustificati. | Riduce consultazioni non necessarie. |
| Informativa e diritti | Informativa, accesso e basi giuridiche sono progettati prima. | Evita documenti scritti dopo per giustificare il flusso. |
| Processo HR | Il passaggio non dipende da una scorciatoia documentale permanente. | Rende il processo più governabile e difendibile. |
La domanda utile non è “come facciamo a condividere tutto più velocemente?”.
La domanda utile è questa:
qual è il minimo perimetro di dati che ci serve davvero, e possiamo ottenerlo senza aprire il fascicolo storico del lavoratore?
Se la risposta è sì, non hai bisogno di SharePoint come grimaldello. Hai bisogno di un processo meno fragile.
Collegamenti coerenti
Per tenere il tema dentro un quadro più solido:
- email aziendale ex dipendente: cosa fare dopo il rapporto;
- Amazon e note sui lavoratori dopo le assenze: cosa insegna il Garante;
- portale dipendente e data breach su assenze e causali;
- sicurezza e GDPR.
Il prossimo passo pratico
Se il processo di transizione del personale funziona così:
- arriva una riorganizzazione;
- bisogna assumere o riallocare in fretta;
- si apre una cartella condivisa con fascicoli già pronti;
- si limita l’accesso a pochi e si spera che basti;
allora il problema non è SharePoint.
Il problema è che stai usando il repository come scorciatoia per evitare di progettare bene il passaggio dei dati.
E questo, prima o poi, presenta il conto.
Fonti ufficiali
- Garante per la protezione dei dati personali, provvedimento del 4 marzo 2026, doc. web n. 10230206
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10230206
Quando applichi il metodo
Ora che hai chiarito fascicoli dipendenti sharepoint alitalia ita illecito 2026, cosa testi per primo?
Il passaggio utile è arrivare a una scelta chiara sul tuo team: quale problema correggere, chi deve applicare il cambiamento e quando verificare il risultato.
Se il metodo è chiaro ma il punto che ti fa perdere più tempo resta operativo, usa il prossimo passo più coerente e misura se la correzione riduce davvero rincorse e lavoro manuale.
La misura utile è sempre la stessa: meno correzioni fuori flusso e una decisione che resta valida anche nel turno successivo.
Quando hai chiaro il test da fare, passa a Vedi App team e richieste oppure puoi prova guidata se vuoi provarlo sul tuo team.
Da verificare subito
Hai validato il processo? Porta il test su dati reali.
Mantieni la logica operativa costruita nelle guide e applicala in un ambiente con regole automatiche, visibilità condivisa e collaborazione centralizzata.