Con provvedimento del 26 febbraio 2026, il Garante per la protezione dei dati personali ha sanzionato Dedalus Italia S.p.A. per una violazione di sicurezza che ha coinvolto i dati del personale di 11 aziende sanitarie e ospedaliere della Regione Emilia-Romagna.
L’incidente è nato da un aggiornamento dell’applicativo WHR-Time, inserito nel “
del dipendente”. A causa di un’anomalia introdotta durante la manutenzione, alcuni dipendenti hanno potuto vedere, per un periodo limitato di tempo, le richieste di assenza, timbratura e richieste giornaliere di altri colleghi della stessa azienda.
Quali dati erano coinvolti
La violazione non riguardava soltanto informazioni organizzative o amministrative. Le richieste visibili comprendevano anche causali di assenza che potevano rivelare informazioni delicate, comprese quelle relative:
- alla fruizione di permessi ex legge 104/1992;
- a situazioni riferite non solo al dipendente, ma anche a suoi familiari, inclusi minori;
- ad altre assenze connesse allo stato di salute.
Il Garante ribadisce un principio molto importante: anche quando non è indicata una diagnosi, il semplice riferimento a determinate causali può comunque far emergere dati relativi alla salute, che il GDPR considera particolarmente meritevoli di tutela.
Perché il Garante ha sanzionato il fornitore
La società ha sostenuto che l’incidente fosse dipeso da un errore umano durante un aggiornamento, che erano stati effettuati test in ambiente di prova e che il problema fosse stato corretto rapidamente.
Il Garante ha riconosciuto la tempestività dell’intervento correttivo, ma ha chiarito che questo non basta a escludere la responsabilità del fornitore. In particolare, è stato ritenuto non adeguato il sistema di misure tecniche e organizzative adottato, perché:
- l’anomalia non è stata intercettata dai controlli interni, ma solo dalle segnalazioni degli utenti;
- i test eseguiti non hanno impedito il rilascio in produzione di una modifica che ha compromesso la riservatezza dei dati;
- non risultavano misure sufficienti per verificare in modo continuativo l’efficacia delle protezioni applicate;
l’applicativo non consentiva di ricostruire con precisione quanti utenti avessero effettivamente visualizzato i dati altrui, per carenza di tracciamenti specifici.
Il principio da ricordare nelle PA
Un punto centrale del provvedimento è questo: i dati dei dipendenti non possono essere liberamente conoscibili all’interno dell’ente solo perché si opera nello stesso contesto lavorativo.
La circostanza che colleghi o responsabili possano venire a conoscenza, di fatto, di alcune informazioni non autorizza la diffusione o la visibilità generalizzata di dati personali tramite sistemi informatici. L’accesso deve essere sempre limitato ai soggetti che ne hanno effettivo titolo per mansione e funzione.
La decisione finale
Il Garante ha dichiarato illecito il trattamento per violazione dell’art. 32 GDPR e ha ordinato a Dedalus Italia S.p.A. il pagamento di una sanzione di 32.000 euro.
Non sono state adottate ulteriori misure correttive, perché la vulnerabilità era già stata rimossa, ma è stata disposta la pubblicazione del provvedimento sul sito del Garante, anche in considerazione della delicatezza del contesto lavorativo e della presenza di dati riferiti a soggetti vulnerabili.
Cosa insegna questo caso agli enti pubblici
Per gli enti pubblici il provvedimento offre alcune indicazioni operative molto concrete:
1. I dati sulle assenze possono essere dati sulla salute
Anche una causale apparentemente “generica” può rivelare informazioni particolari e richiede quindi tutele rafforzate.
2. I fornitori non sono meri esecutori tecnici
Il responsabile del trattamento ha obblighi propri in materia di sicurezza e risponde se le misure adottate non sono adeguate.
3. I test non bastano se non sono efficaci
Serve una verifica reale delle modifiche software, soprattutto quando incidono sui profili di autorizzazione e visibilità dei dati.
4. I log sono essenziali
Se non si riesce a ricostruire chi ha visualizzato cosa, diventa più difficile gestire correttamente una violazione.
5. Il principio del “need to know” vale anche all’interno dell’ente
Non tutto ciò che riguarda un collega può essere visibile ad altri dipendenti o consulenti.
Conclusione
Questo provvedimento ricorda a tutte le amministrazioni pubbliche che la sicurezza dei portali HR non è un tema solo informatico, ma anche organizzativo e giuridico. Quando si trattano dati su presenze, assenze, permessi e situazioni personali dei dipendenti, servono controlli rigorosi, verifiche continue e una chiara segregazione degli accessi.
Lascia un commento