Dati esposti nel dossier sanitario: Garante sanziona una casa di cura romana. Come vanno tutelati i pazienti?

Dati esposti nel dossier sanitario: Garante sanziona una casa di cura romana. Come vanno tutelati i pazienti?


Una multa di 12 mila euro per una Casa di Cura di Roma, a seguito di un accertamento ispettivo che ha rilevato gravi violazioni del GDPR nella gestione del dossier sanitario elettronico. Con il provvedimento 10169116 dell’11 settembre 2025, il Garante Privacy ha sanzionato una gestione non corretta dei dati dei pazienti, messa in atto dalla struttura sanitaria.  

Il caso della Casa di Cura 

L'ispezione ha evidenziato numerose criticità nella configurazione del software gestionale per il dossier sanitario, sviluppato da una società esterna. In particolare, il Garante ha accertato che: 

  • I profili di autorizzazione non erano adeguatamente configurati: alcune categorie di utenti avevano accesso a informazioni non necessarie rispetto alle specifiche mansioni e al reparto in cui operavano, in violazione del principio di minimizzazione.
  • Non era presente un sistema di tracciamento e controllo efficace degli accessi: mancavano log completi delle operazioni effettuate sui dossier e non erano attivi sistemi automatici di rilevazione di anomalie o accessi sospetti.
  • La gestione dell’oscuramento dei dati particolarmente sensibili non era correttamente configurata: sebbene il sistema prevedesse codici “oscurati” (es. prestazioni sensibili), la configurazione non assicurava piena conformità alle Linee Guida sul dossier sanitario.
  • Non era pienamente garantito il diritto dell’interessato a conoscere chi aveva consultato il proprio dossier e a esprimere in modo chiaro e libero il consenso, inclusa la gestione del consenso retroattivo, che veniva impostato automaticamente dal sistema in alcune circostanze.

Questi elementi hanno portato il Garante alla conclusione che il trattamento effettuato fosse illecitamente configurato in violazione degli articoli chiave del GDPR (artt. 5, 9, 25 e 32) e delle Linee Guida dell'Autorità del 2015 sul dossier sanitario. 

Le conseguenze della sanzione 

Oltre alla sanzione pecuniaria, l'autorità ha imposto alla Casa di Cura la necessità di adottare misure correttive, in particolare la riorganizzazione dei profili di autorizzazione e l'attivazione di moduli software aggiuntivi per migliorare la sicurezza e il controllo degli accessi, da testare prima di essere messi in produzione. 

Importanza del provvedimento per piccole farmacie e studi medici 

Sebbene il caso riguardi una struttura di medie dimensioni, il messaggio del Garante coinvolge trasversalmente piccoli operatori sanitari come farmacie e studi medici, che spesso trattano dati sanitari con minori risorse tecniche e organizzative. È fondamentale che anche queste realtà comprendano che il GDPR non è una formalità burocratica ma un insieme di regole volte a tutelare la privacy e la sicurezza delle informazioni che appartengono ai pazienti. 

Per le piccole farmacie e studi medici, il provvedimento insegna alcune lezioni fondamentali:

  • Limitazione degli accessi: È cruciale definire profili di accesso con privilegi calibrati, autorizzando solo il personale che necessita realmente di accedere ai dati per svolgere la propria attività.
  • Sistemi di sicurezza informatica: Garantire la presenza di sistemi per il monitoraggio e la registrazione degli accessi e realizzare controlli continui sulla sicurezza, anche con verifiche periodiche come penetration test. Questi strumenti aiutano a prevenire incidenti e a rispondere rapidamente in caso di anomalie.
  • Diritto di scelta e trasparenza per il paziente: L'interessato deve poter decidere quali dati personali sanitari inserire nel dossier e chi può avere accesso a tali informazioni; è un diritto che rafforza la fiducia tra paziente e medico/farmacia.
  • Formazione e consapevolezza: Anche nelle strutture piccole, è importante formare il personale sulle regole di privacy e sui comportamenti corretti da adottare nel trattamento dei dati.

Perché adeguarsi non è un ostacolo ma un'opportunità 

L'adeguamento al GDPR può sembrare una sfida per le realtà più piccole, spesso a corto di risorse e competenze dedicate. Tuttavia, il rispetto rigoroso delle norme sulla privacy rappresenta un valore aggiunto: 

  • Protegge i pazienti, assicurando che i loro dati personali non siano oggetto di uso improprio o vulnerabilità.
  • Migliora la reputazione e la credibilità del professionista sanitario o della farmacia di fronte ai pazienti.
  • Previene sanzioni che, anche se proporzionate, possono rappresentare un costo economico e un danno d’immagine.
  • Favorisce una gestione più efficiente e sicura dei dati, riducendo potenziali rischi legati a malfunzionamenti o accessi abusivi. 

Punti chiave

Il provvedimento del Garante della Privacy nei confronti della Casa di Cura Città di Roma rappresenta un segnale chiaro e un richiamo forte: nessun operatore sanitario, piccolo o grande che sia, può sottovalutare l’importanza della protezione dei dati personali. Il GDPR non è un ostacolo burocratico, ma una garanzia concreta per il paziente e uno strumento indispensabile per assicurare una gestione corretta, sicura e trasparente delle informazioni sanitarie. 

Piccole farmacie e studi medici dovrebbero cogliere questa opportunità per rivedere i propri processi, investire nella sicurezza informatica e nella formazione del personale, e soprattutto per instaurare con i propri clienti un rapporto di fiducia basato su rispetto e tutela dei loro dati personali. In questo modo, oltre a evitare sanzioni, contribuiscono a costruire un sistema sanitario più rispettoso e attento alle esigenze di tutti. 

Verifica subito

Vuoi verificare se la tua struttura sanitaria è conforme alle nuove regole sulla privacy digitale?

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti.

 

 

Torna al blog