En anställd på ett sjukhus skickade ett mejl till sin chef innehållande personuppgifter om sin hälsa för att förklara sin frånvaro. Chefen vidarebefordrade detta mejl till sjukhusets generaldirektör, vilket ledde till att den anställda lämnade in ett klagomål till den italienska dataskyddsmyndigheten. Den anställde menar att vidarebefordringen inte var tillåten under GDPR. Sjukhuset argumenterade för att informationen kring hälsotillståndet hade lämnats av henne själv, endast innehöll information om symptom utan att nämna specifika sjukdomar samt att uppgifterna inte lämnades till en tredje part utan nödvändig information lämnades till den ansvariga för organisationen för att kunna ersätta henne medan hon var borta.
Dataskyddsmyndigheten fann att denna vidarebefordran bröt mot GDPR. Myndigheten påpekade att även information om att en anställd är sjukfrånvarande anses vara känsliga personuppgifter och kräver högre skyddsnivå. Vidare hantering av sådan information är endast tillåten om den är nödvändig för att uppfylla specifika juridiska skyldigheter, vilket inte var fallet här. Trots att läkaren själv skickade informationen till chefen, skulle chefen ha undvikit att vidarebefordra den till andra, särskilt eftersom generaldirektören inte behövde känna till de specifika symptomen för att hantera personens frånvaro. Därför fann myndigheten att sjukhuset brutit mot GDPR och utfärdade en reprimand.
