Il Garante Privacy, con il provvedimento n. 363 del 23 giugno 2025, ha sanzionato un illecito trattamento di dati personali, da parte di un datore di lavoro, consistente nella divulgazione di dati personali, anche di natura sensibile, relativi ai motivi dell’assenza dal lavoro del proprio personale.

In particolare, sulla base di quanto rappresentato, le informazioni relative ai motivi delle assenze, indicate mediante sigle sintetiche (“MAL” in luogo di malattia, “104” in luogo di “permesso assistenza disabili, L. 104/1992”, “INF” in luogo di infortunio, “SOSP” in luogo di sospensione/sanzione disciplinare, “PS” in luogo di permesso sindacale, “ric.osp.” in luogo di ricovero ospedaliero, “AVIS” in luogo di donazione sangue) venivano rese disponibili a tutti i dipendenti, mediante affissione delle tabelle dei turni di servizio sulle bacheche aziendali, posizionate presso i depositi aziendali dei mezzi di trasporto utilizzati per la gestione del servizio, nonché tramite l’invio di una e-mail ai dipendenti dell’azienda.

In via generale, il datore di lavoro può trattare i dati personali dei dipendenti, anche sensibili (salute, appartenenza sindacale), solo se necessario per la gestione del rapporto di lavoro e nel rispetto dei principi di liceità, trasparenza e minimizzazione previsti dal GDPR.

Nel caso esaminato, la società affiggeva nelle bacheche aziendali e inviava via e-mail i turni di servizio contenenti informazioni sulle assenze dei dipendenti. Così facendo, i dati sono stati resi accessibili a un numero eccessivo di soggetti non legittimati (altri dipendenti), configurando una comunicazione illecita.

La legge citata dall’azienda (art. 10, L. 138/1958) obbliga a esporre i turni, ma non legittima la diffusione delle cause di assenza. Pertanto, il trattamento è stato effettuato senza un valido presupposto di liceità, in violazione dell’art. 9 GDPR e del principio di minimizzazione, poiché le motivazioni delle assenze non sono necessarie alla programmazione dei turni.