Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Logo PuntoSicuro
  • Iscriviti
  • Abbonati ora
  • Accedi
Il quotidiano sulla sicurezza
  • Home
  • Articoli
    • Sicurezza sul lavoro
    • Incendio, emergenza e primo soccorso
    • Security
    • Ambiente
    • Sicurezza
    • Tutti gli articoli
  • Documenti
  • Banca Dati
    • Banca Dati PuntoSicuro
    • Servizio di attestazione
    • Servizio I tuoi preferiti
  • Approfondimenti
    • Normativa sicurezza sul lavoro: D. Lgs. 81/2008
    • Normativa antincendio: D.M. 10 marzo 1998
    • Normativa primo soccorso: D.M. 388/2003
    • Protezione Dati Personali: GDPR 2016/679
    • Normativa Accordi Stato Regioni
    • Normativa Coronavirus
  • FORUM
  • PUBBLICITÀ

Area riservata:

Password dimenticata?
Username dimenticato?

Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'.

Accetta i cookie

Crea PDF

L’attestato di formazione del lavoratore: un dato personale tutelato dal GDPR

L’attestato di formazione del lavoratore: un dato personale tutelato dal GDPR
Rolando Dubini

Autore: Rolando Dubini

Categoria: Informazione, formazione, addestramento

05/11/2025

Analisi del Provvedimento del Garante per la Protezione dei Dati Personali n. 571 dell’11 settembre 2025. La formazione è un patrimonio della persona, non un capitale dell’impresa.

L’attestato di formazione del lavoratore: un dato personale tutelato dal GDPR

Analisi del Provvedimento del Garante per la Protezione dei Dati Personali n. 571 dell’11 settembre 2025. La formazione è un patrimonio della persona, non un capitale dell’impresa.

1. Premessa normativa

2. Il fatto

3. Il quadro giuridico: il diritto alla disponibilità del dato

4. Correlazione con l’art. 2087 c.c. e con il D.Lgs. 81/2008

5. Il contenuto del Provvedimento 571/2025: la posizione del Garante

6. Obblighi pratici per i datori di lavoro e per gli enti formatori

7. La natura personale dell’attestato

8. La cultura della legalità e della trasparenza

 

1. Premessa normativa

Nel sistema giuridico italiano la formazione in materia di salute e sicurezza sul lavoro, disciplinata dagli artt. 37 e 55 del D.Lgs. 9 aprile 2008, n. 81, costituisce un obbligo giuridico a carico del datore di lavoro e, al tempo stesso, un diritto soggettivo del lavoratore alla propria integrità fisica e alla consapevolezza dei rischi connessi alle mansioni svolte.

 

L’attestato rilasciato al termine del percorso formativo, previsto dagli Accordi Stato-Regioni, ex art  37 D.Lgs. n. 81/2008, ha una duplice natura:

  • documentale-amministrativa, quale prova dell’adempimento datoriale;
  • personale-professionale, quale certificazione delle competenze acquisite dal lavoratore.

 

È su questa seconda dimensione che interviene il Garante per la Protezione dei Dati Personali con il Provvedimento n. 571 dell’11 settembre 2025, stabilendo un principio destinato ad avere notevoli ricadute operative:

“Gli attestati di formazione contengono dati personali riferibili ai lavoratori, la cui disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro”.



Pubblicità
Datore di Lavoro - Sicurezza sul lavoro - 16 ore
Datore di Lavoro - Datore di Lavoro - Sicurezza sul lavoro - 16 ore
Corso online di formazione per Datori di Lavoro di tutti i settori o comparti aziendali

 

2. Il fatto

Nel caso sottoposto al GPDP, è emersa la seguente situazione: un’organizzazione – titolare del trattamento – aveva mantenuto esclusivamente la copia dell’attestato di formazione relativa alla lavoratrice quale documento interno, senza rilasciare al lavoratore l’originale o una propria copia nonché senza informarlo della possibilità di accedere e ottenere tale documento.

Il Garante osserva che:

«La mancata consegna degli attestati di formazione al lavoratore, nonché la loro conservazione esclusiva presso il titolare del trattamento, configurano una modalità di gestione dei dati personali che non consente all’interessato l’effettivo esercizio del diritto di accesso né la disponibilità del proprio documento formativo.» (Provv. n. 571/2025, Considerato n. 3)

 

In particolare, l’Autorità rileva che gli attestati formativi contengono “dati personali riferibili ai lavoratori” e che la “disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro”.

 

«Gli attestati di formazione e i relativi registri contengono dati personali riferibili ai lavoratori, la cui disponibilità deve essere garantita all’interessato, anche successivamente alla cessazione del rapporto di lavoro.» (Provv. n. 571/2025, Considerato n. 4)

 

Il titolare del trattamento non aveva previsto una procedura di rilascio né un’adeguata informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR), né aveva predisposto un registro che registrasse la consegna dell’attestato alla lavoratrice. Il Garante sottolinea che tale omissione contravviene ai principi di “trasparenza” e “limitazione della finalità” dell’art. 5, par. 1, lett. a) e b) del GDPR:

«La conservazione della documentazione formativa esclusivamente in archivio aziendale, in assenza di idonee modalità di accesso e di rilascio al lavoratore, viola i principi di correttezza e trasparenza, nonché la finalità dichiarata del trattamento.» (Provv. n. 571/2025, Considerato n. 6)

 

In conclusione, l’evento accertato è costituito dalla mancata consegna all’interessato dell’attestato di formazione, associata alla trattenuta esclusiva del documento da parte del datore, impedendo alla lavoratrice di ottenere copia o originale, e dunque ostacolando il pieno esercizio del diritto di accesso e disponibilità del proprio dato personale formativo.

 

Il Provvedimento cosi dispone:

"La condotta della Società, nei termini sopra esposti, è pertanto avvenuta in violazione dell’art. 15 del Regolamento laddove stabilisce “L’interessato ha il diritto […] di ottenere l’accesso ai dati personali” nonché informazioni specifiche sul trattamento effettuato, anche con riferimento alle “categorie di dati personali”. In proposito “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento […]” (v. art. 15, cit., par. 3).

 

Inoltre la Società ha agito in violazione dell’art. 12 del regolamento, quanto alle modalità con le quali il riscontro avrebbe dovuto essere fornito all’interessata.

 

La condotta è altresì avvenuta in violazione del principio generale di correttezza stabilito dall’art. 5, par. 1, lett. a) del Regolamento, che costituisce uno dei principi generali in materia anche con particolare riguardo all’ambito del rapporto di lavoro.

 

Si prende atto, in ogni caso, della volontà di collaborazione manifestata dalla Società, dopo l’avvio dell’attività istruttoria da parte del Garante e l’invio dell’invito ad aderire rivolto alla Società (il 10/12/2024), in relazione al quale quest’ultima ha provveduto ad inviare alla reclamante, con comunicazione del 17 gennaio 2025, copia degli attestati di formazione trasmessi da XXX (a seguito di richiesta avanzata il 12/6/2024, secondo quanto dichiarato), nonché copia del certificato medico di idoneità redatto dal medico competente il 3/4/2024.

 

Il trattamento dei dati personali effettuato dalla Società e segnatamente l’omesso riscontro alla richiesta di accesso ai dati personali della reclamante avanzata dapprima in data 8 e 11 giugno 2024 e, successivamente, il 26 agosto 2024, fino alla data del 17 gennaio 2025, nel corso del procedimento davanti al Garante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento.

 

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni in materia di esercizio dei diritti.

 

L’Autorità ha altresì tenuto conto del livello medio di gravità della violazione, alla luce di tutti i fattori rilevanti nel caso concreto, e, in particolare, la natura e la gravità della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito...

 

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia medio, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

  1. in relazione alla natura della violazione, questa ha riguardato fattispecie punite più severamente ai sensi dell’art. 83, par. 5 del Regolamento in ragione dell’interesse protetto dalle norme violate (principi generali del trattamento e disposizioni relative all’esercizio dei diritti);
  2. in relazione alla durata della violazione, questa si è protratta per circa sette mesi;
  3. in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato trattamenti effettuati nell’ambito del rapporto di lavoro, caratterizzato da uno squilibrio tra il titolare e gli interessati;
  4. in relazione al numero di interessati concretamente coinvolti, è stata presa in considerazione la circostanza che la violazione ha riguardato un’interessata;
  5. con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni;
  6. come fattore attenuante, a favore della Società, si è tenuto conto della cooperazione con l’Autorità di controllo, in particolare l’adozione di misure per attenuare la limitazione del diritto da parte dell’interessata, con riguardo all’invio alla reclamante, nel corso del procedimento, dei dati personali oggetto della richiesta di accesso.

 

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento) le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla Società con riferimento al bilancio abbreviato d’esercizio per l’anno 2024, ultimo disponibile.

 

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene pertanto di applicare, nei confronti di YYY S.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 1.000 (mille)".

 

3. Il quadro giuridico: il diritto alla disponibilità del dato

Il Regolamento (UE) 2016/679 (GDPR), all’art. 4, n. 1, definisce come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

L’art. 15 riconosce all’interessato il diritto di accesso e di ottenere “una copia dei dati personali oggetto di trattamento”.

Applicando tali principi al contesto formativo, l’attestato di formazione non è un documento “aziendale”, bensì una manifestazione documentale di un dato personale: attesta competenze riferibili in modo univoco al lavoratore.

Il Garante, coerentemente, ha affermato che il datore di lavoro, in qualità di titolare del trattamento, non può negare o limitare la consegna dell’attestato al lavoratore, neppure in caso di cessazione del rapporto. La copia o l’originale devono essere rilasciati su richiesta, “in formato intellegibile e completo”, ai sensi dell’art. 15, par. 3 GDPR.

 

4. Correlazione con l’art. 2087 c.c. e con il D.Lgs. 81/2008

L’ art. 2087 c.c. obbliga l’imprenditore ad adottare “tutte le misure necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”.

 

La Corte di Cassazione (Sez. Lav., 4 gennaio 2023, n. 174) ha ribadito che tale norma costituisce “una clausola generale di chiusura dell’intero sistema di prevenzione”.

 

In questa prospettiva, la formazione documentata e tracciabile rientra nel perimetro delle misure di protezione della persona, e la consegna dell’attestato ne rappresenta l’atto conclusivo e necessario.

 

Trattenere l’attestato o impedirne la disponibilità integra una violazione non solo del GDPR, ma anche dell’ art. 2087 c.c., perché nega al lavoratore la possibilità di far valere e utilizzare la propria qualificazione professionale ai fini della tutela della salute e della sicurezza.

 

5. Il contenuto del Provvedimento 571/2025: la posizione del Garante

Nel provvedimento citato, il Garante ha esaminato diversi casi di gestione impropria di dati dei lavoratori in ambito formativo e ha affermato che:

 “La mancata consegna degli attestati o la loro conservazione esclusiva presso l’organizzazione costituisce una violazione dei principi di trasparenza, correttezza e limitazione della finalità (art. 5, par. 1, lett. a e b, GDPR).”

 

Il principio espresso dal Garante non ha carattere episodico, ma sistemico: si estende a tutte le tipologie di formazione obbligatoria (preposti, RSPP, addetti emergenze, lavoratori, dirigenti, datori di lavoro, "patentini",  ecc.) e comporta obblighi concreti per i datori di lavoro.

 

6. Obblighi pratici per i datori di lavoro e per gli enti formatori

Alla luce del Provvedimento 571/2025, i soggetti titolari del trattamento devono:

  1. Rilasciare l’attestato in originale al lavoratore al termine del corso, con sottoscrizione per ricevuta.
  2. Conservare copia conforme nel fascicolo aziendale, specificando nell’informativa privacy la finalità e i tempi di conservazione.
  3. Garantire l’accesso successivo del lavoratore ai propri dati formativi, anche se non più in forza.
  4. Predisporre procedure di rilascio sicure, in formato cartaceo o digitale, che assicurino l’integrità del documento.
  5. Evitare il trattamento eccedente dei dati personali contenuti negli attestati, in linea con il principio di minimizzazione (art. 5, par. 1, lett. c GDPR).

 

In caso di mancata ottemperanza, il Garante può applicare le sanzioni amministrative pecuniarie di cui all’art. 83 GDPR (fino a 20 milioni di euro o al 4% del fatturato annuo mondiale).

 

7. La natura personale dell’attestato

La formazione obbligatoria di salute e sicurezza sul lavoro ha natura individuale. L’adempimento formativo non è soddisfatto da una mera attestazione formale, ma deve rispondere a criteri di effettività e personalizzazione. La formazione è misura di prevenzione personale e intrasferibile.

 

L’attestato di abilitazione costituisce titolo individuale e non può essere trattenuto dall’amministrazione o dal datore se richiesto dal soggetto interessato.

 

Il Provvedimento del Garante si colloca perfettamente in questa linea interpretativa: l’attestato non appartiene all’archivio aziendale, ma alla persona fisica che lo ha conseguito.

 

Peraltro, ovviamente, la Cassazione penale Sez. III sentenza n. 37312 del 9 settembre 2014, ha stabilito che "l'onere della prova dell'avvenuta formazione del lavoratore ai sensi dell'articolo 37 del Decreto Legislativo n. 81 del 2008 grava sul datore di lavoro, il quale è tenuto a conservare in azienda l'attestazione documentale della formazione effettuata".

 

8. La cultura della legalità e della trasparenza

Il messaggio del Garante è limpido: il diritto alla disponibilità dei propri dati personali si estende a ogni documento che rappresenti competenze, abilità o esperienze maturate dal lavoratore.

 

Ne discende un principio generale di civiltà giuridica: la formazione è patrimonio della persona, non capitale dell’impresa.

 

Restituire e valorizzare gli attestati non è soltanto un obbligo di legge, ma un gesto di rispetto verso il lavoratore e un segno di autentica cultura della sicurezza. L’impresa che riconosce questo diritto dimostra di aver compreso che la prevenzione non è un atto burocratico, ma un dovere etico e giuridico permanente.

 

Riferimenti normativi

Regolamento (UE) 2016/679, artt. 4, 5, 12–15, 83

D.Lgs. 9 aprile 2008, n. 81, artt. 18, 37, 55

Codice civile, art. 2087

GPDP, Provvedimento n. 571 del 11 settembre 2025

 

 

Rolando Dubini, Avvocato del Foro di Milano, Cassazionista, formatore

 

 

Scarica il documento citato nell'articolo:

Garante per la protezione dei dati personali – GPDP - Provvedimento dell'11 settembre 2025 [10183903] - Registro dei provvedimenti n. 571 dell'11 settembre 2025.

 



Creative Commons License Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Rispondi Autore: Sara immagine like - likes: 0
 05/11/2025 (06:47:53)
Ferma restando la correttezza di quanto espresso nell’articolo, non ci sarebbero problemi di accesso alle informazioni relative alla formazione se mandassero finalmente in porto, al 100%, un sistema informatizzato nazionale, che si chiami libretto del cittadino o in qualsiasi altra maniera. Che nel 2025 non sia possibile risalire allo storico delle formazioni senza che il singolo collezioni e conservi gli attestati è abbastanza ridicolo.
Rispondi Autore: Giovanni Bersani immagine like - likes: 0
 05/11/2025 (08:23:26)
E' un'ottima notizia, dopo anni e anni di problemi sul tema dell'avere con sé i propri attestati a seguito di un cambio d'azienda.
Anche se, a dirla tutta, sfruttare il tema Privacy/GDPR mi pare come un entrare in casa dovendosi arrampicare su un pluviale e passare da un balcone al quarto piano... invece di poter usare il portone principale (!)
E comunque ormai, per fortuna, il nuovo Accordo 2025 ha finalmente spalancato l'ingresso... :-)
Rispondi Autore: Damiano Alzati immagine like - likes: 0
 05/11/2025 (09:17:52)
Finalmente abbiamo una certificazione ufficiale in merito con cui concordiamo in toto.
Noi abbiamo già messo a disposizione (sin dal 2010) per tutti i lavoratori delle aziende ns. clienti un servizio a cui possono accedere con delle credenziali personali (che non scadono mai) per avere sempre a disposizione gli attestati dei loro percorsi formativi in materia di salute e sicurezza effettuati.

Pubblica un commento

Banca Dati di PuntoSicuro

Banca dati, normativa sulla sicurezza

Altri articoli sullo stesso argomento:

GDPR: aggiornamento sulle modifiche che verranno apportate

La corte di giustizia europea chiarisce il concetto di pseudonimizzazione

Come pubblicare in modo sicuro documenti contenenti dati personali

Una buona notizia per le aziende in tema di conservazione dei dati personali

Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Notizie FLASH

07NOV

Convegno gratuito "Sicurezza e applicazioni biotecnologiche"

06NOV

Quanto sono sostenibili le Olimpiadi invernali?

05NOV

Il vincitore del premio cinematografico «Ambienti di lavoro sani e sicuri» 2025

Consulta gli ultimi documenti della Banca Dati

Banca dati, normativa sulla sicurezza
07/11/2025: Garante per la protezione dei dati personali – GPDP - Provvedimento dell'11 settembre 2025 [10183903] - Registro dei provvedimenti n. 571 dell'11 settembre 2025.
07/11/2025: Suva - Istituto nazionale svizzero di assicurazione contro gli infortuni - Carrelli elevatori con forche a sbalzo - lista di controllo – 2018
06/11/2025: Corte di Cassazione Penale Sez. 4 – Sentenza n. 34805 del 23 luglio 2018 - Infortunio mortale del lavoratore folgorato per effetto di un "arco voltaico". Previsione del rischio e necessaria formazione.
06/11/2025: MASE – Interpello nr 0188094 del 13 ottobre 2025 in risposta a quesito nr 0132268 del 14 luglio 2025 - Interpello ex art. 3-septies del D.lgs. n. 152/2006 - Applicazione delle disposizioni previste dal Decreto legislativo 8 novembre 2021 n. 197 relativo agli impianti portuali di raccolta e, in particolare, alla corretta applicazione degli adempimenti della tracciabilità previsti dall’art.188-bis del D.lgs. 152/2006 da parte degli impianti portuali per conto di pescherecci e diportisti – riscontro
ACCEDIABBONATI ORA

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Articoli per categorie

RISCHI DA AGENTI BIOLOGICI

Bio-ritmo, una metodologia per la valutazione del rischio biologico

LAVORATORI AUTONOMI, IMPRESE FAMILIARI

Radiazioni ionizzanti: quali sono le novità per i lavoratori autonomi?

RADIAZIONI OTTICHE

Esposizione ai laser: i principali rischi per gli occhi e la pelle

RISCHIO ERGONOMICO

Come controllare il sovraccarico biomeccanico alla postazione di lavoro?

TUTTE LE CATEGORIE

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

PuntoSicuro Media Partner

PuntoSicuro Media Partner Healthy Workplaces

REDAZIONE DI PUNTOSICURO

  • Direttore: Luigi Meroni

  • Redazione: Federica Gozzini e Tiziano Menduto

CONTATTI

  • redazione@puntosicuro.it

  • (+39) 030.5531825

CHI SIAMO

  • Cos'è PuntoSicuro
  • Newsletter
  • FAQ Newsletter
  • Forum
  • Video PuntoSicuro
  • Fai pubblicità su PuntoSicuro

PUNTOSICURO È UN SERVIZIO

Logo Mega Italia Media

SEGUICI SUI SOCIAL

FacebookTwitterLinkedInInstagramYouTubeFeed RSS

PuntoSicuro è la testata giornalistica di Mega Italia Media. Registrazione presso il Tribunale di Brescia, n. 56/2000 del 14.11.2000 - Iscrizione al Registro degli operatori della comunicazione n. 16562. ISSN 2612-2804. È sito segnalato dal servizio di documentazione INAIL come fonte di informazioni di particolare interesse/attualità, è media partner della Agenzia Europea per la salute e sicurezza nei luoghi di lavoro EU-OSHA per le campagne di sensibilizzazione su salute e sicurezza.
I contenuti degli articoli possono contenere pareri personali degli autori. Non si risponde per interpretazioni che dovessero risultare inesatte o erronee.
I documenti della Banca dati di PuntoSicuro non possono essere considerati testi ufficiali: una norma con valore di legge può essere ricavata solo da fonti ufficiali (es. Gazzetta Ufficiale). Per informazioni su copyright e modalità di consultazione: Condizioni di abbonamento.
I prodotti e i servizi pubblicitari sono commercializzati da Punto Sicuro con queste Condizioni di vendita.

Mega Italia Media S.p.A. | Via Roncadelle, 70A - 25030 Castel Mella (BS) - Italia
Tel. (+39) 030.2650661 | E-Mail: info@megaitaliamedia.it | PEC: megaitaliamedia@legalmail.it
C.F./P.Iva 03556360174 | Numero REA BS-418630 | Capitale Sociale € 500.000 | Codice destinatario SUBM70N | Codice PEPPOL 0211:IT03556360174

Privacy Policy | Cookie Policy | Dichiarazione di accessibilità