Il Garante Privacy, con provvedimento del 26 febbraio 2026, ha sanzionato il fornitore di un applicativo usato da 11 aziende sanitarie dell’Emilia-Romagna per la gestione delle richieste del personale.

A causa di un aggiornamento software errato, per alcune ore i dipendenti hanno potuto visualizzare richieste di assenza e presenza riferite ad altri colleghi della stessa azienda, comprese alcune causali idonee a rivelare dati sulla salute, come i permessi collegati alla legge 104/1992.

Il Garante ha ritenuto che il fornitore, in qualità di responsabile del trattamento, non avesse adottato misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, e ha applicato una sanzione di 32.000 euro.

Cosa impariamo da questo caso

• i dati su assenze e permessi possono essere particolarmente delicati;
• i sistemi HR devono garantire che ogni utente veda solo ciò che è autorizzato a vedere;
• test, controlli post-rilascio e tracciamenti sono fondamentali;
• anche all’interno dell’ente l’accesso ai dati dei colleghi deve essere limitato secondo il principio di necessità.

In pratica

Per enti e fornitori ICT questo caso conferma che la sicurezza dei dati del personale richiede attenzione continua, soprattutto quando i sistemi trattano informazioni che possono rivelare condizioni di salute o situazioni familiari delicate.