Data Protection System - GDPR
News
Garante Privacy: divieto di divulgare i motivi dell’assenza dei dipendenti
La decisione e cosa devono fare le aziende
Con il Provvedimento n. 363 del 23 giugno 2025, il Garante per la protezione dei dati personali ha nuovamente ribadito un principio fondamentale per tutti i datori di lavoro:
non è consentito rendere pubblici i motivi dell’assenza dei dipendenti, nemmeno tramite sigle o abbreviazioni.
Il caso ha riguardato una società che aveva diffuso a tutto il personale informazioni sensibili sulle assenze dei dipendenti tramite:
- affissione delle tabelle dei turni su bacheche aziendali;
- invio di e-mail collettive contenenti codici riferibili a malattie, permessi ex Legge 104/1992, sospensioni disciplinari e altri motivi di assenza.
Sebbene tali sigle fossero “abbreviate”, il Garante ha stabilito che erano comunque idonee a rivelare dati personali e categorie particolari di dati, con conseguente violazione del GDPR.
Perché la divulgazione dei motivi dell’assenza è vietata
Secondo il Garante:
- i dati relativi allo stato di salute ed a permessi per assistenza rientrano nelle categorie particolari di dati (art. 9 GDPR);
- la diffusione non autorizzata a tutto il personale configura un trattamento illecito;
- la messa a disposizione tramite bacheche o e-mail non rientra tra le finalità consentite dalla normativa.
La gestione dei turni deve essere strutturata in modo da non rendere visibili né comprensibili le informazioni sullo stato di salute o su situazioni personali del lavoratore.
Considerazioni della dott.ssa Emilia Barbati Legal Consultant, ROdV, Deputy Legal Manager ERSG
“Questo provvedimento conferma un principio da sempre evidenziato ma spesso sottovalutato:
la protezione dei dati dei lavoratori non si limita ad evitare la divulgazione esplicita di informazioni sensibili, ma riguarda anche qualsiasi modalità indiretta che permetta di risalire allo stato di salute o a condizioni personali.
Le aziende devono adottare processi interni rigorosi, garantire formazione continua al proprio personale ed aggiornare i propri sistemi informativi per prevenire violazioni involontarie.
Una corretta Governance del dato è parte integrante del benessere organizzativo e della Compliance aziendale e permette di tutelare l’Azienda anche da pesanti sanzioni.”
Dott.ssa Emilia Barbati Legal Consultant, ROdV, Deputy Legal Manager ERSG
Cosa devono fare le aziende per essere conformi
- Utilizzare turni e planning privi di codici riconducibili a motivazioni sensibili.
- Limitare l’accesso ai dati sulle assenze solo a personale espressamente autorizzato dall’Azienda (es. HR).
- Aggiornare procedure interne, regolamenti e informative privacy.
- Implementare sistemi software conformi al GDPR.
- Formare costantemente il personale su privacy e trattamento dei dati.
- Effettuare audit periodici.
Servizi ERSG correlati
Chi legge questo articolo può trovare particolare utilità nei seguenti servizi offerti da ERSG:
- Consulenza GDPR e compliance privacy aziendale
- Audit Privacy & Data Protection
- Redazione di procedure interne e aggiornamento informative
- Supporto nella gestione delle violazioni dei dati personali
- Implementazione di sistemi di gestione integrati (ISO 27001, ISO 37301 ecc.)
FAQ — Le 12 domande più frequenti
1. È consentito usare sigle per indicare i motivi delle assenze?
No. Se la sigla permette di risalire, anche indirettamente, al motivo dell’assenza, costituisce trattamento illecito.
2. Chi può conoscere il motivo dell’assenza di un dipendente?
Solo personale autorizzato dall’Azienda (HR, medico competente, datore nei casi previsti).
3. Posso inviare i turni tramite e-mail a tutti i dipendenti?
Sì, ma senza indicare motivazioni relative alle assenze.
4. Posso comunicare ai colleghi che un dipendente è assente per malattia?
No, è vietato il riferimento alla malattia, non chiaramente all’assenza.
5. Le bacheche aziendali possono contenere planning con codici di assenza?
Solo se tali codici non sono interpretabili come motivazioni sensibili.
6. La violazione comporta sanzioni?
Sì. Il Garante può irrogare sanzioni anche molto elevate.
7. Il consenso del dipendente è sufficiente per pubblicare il motivo dell’assenza?
No. Il consenso nel rapporto di lavoro non è considerato libero.
8. Come devono essere gestiti i permessi 104?
Sempre con riservatezza, senza divulgarne l’esistenza.
9. Il responsabile di reparto può conoscere i motivi dell’assenza?
Solo il periodo dell’assenza se necessario alla gestione del servizio e previa autorizzazione.
10. La pubblicazione dei turni sul gestionale interno è lecita?
Sì, purché accessibile solo agli autorizzati e senza motivazioni sensibili.
11. I colleghi possono chiedere perché un lavoratore è assente?
Possono chiedere, ma l’azienda non può divulgare informazioni sensibili.
12. Come posso rendere i turni comprensibili senza violare il GDPR?
Indicando semplicemente presente/assente e mai la motivazione.
