Dati sanitari a rischio: Garante Privacy multa il Careggi per 80mila euro
Share
Il trattamento dei dati relativi alla salute rappresenta una delle categorie più sensibili nell’ambito della protezione dei dati personali. L’articolo 9 del GDPR stabilisce un divieto generale al trattamento di tali informazioni, ma prevede deroghe limitate, specifiche e circoscritte, come nel caso di esigenze di interesse pubblico o di finalità di medicina preventiva, diagnosi e cura.
Le strutture sanitarie pubbliche possono fare affidamento su tali deroghe purché il trattamento sia esplicitamente previsto dalla normativa e accompagnato da misure di tutela adeguate. Il dossier sanitario, che raccoglie la storia clinica del paziente in un unico archivio elettronico, rappresenta uno strumento particolarmente delicato in questo quadro normativo, in quanto centralizza informazioni su ricoveri, referti e accessi ai servizi sanitari.
Il Garante ha più volte sottolineato come la costituzione e la gestione di questo strumento debbano rispettare rigorose cautele tecniche, organizzative e procedurali, per garantire che il trattamento avvenga nel pieno rispetto dei diritti dei pazienti e dei principi di legalità, correttezza e trasparenza.
Le violazioni accertate dal Garante: principi generali e dati sensibili
Il provvedimento del 4 agosto 2025 nei confronti dell’Azienda Ospedaliero-Universitaria Careggi ha evidenziato il mancato rispetto di principi fondamentali del GDPR e della normativa nazionale. In particolare, sono state rilevate violazioni dell’articolo 5, che stabilisce i principi di liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza dei dati.
La mancata adozione di misure adeguate ha compromesso la protezione di informazioni altamente sensibili, esponendo il sistema sanitario a rischi di accessi non autorizzati.
Parallelamente, l’articolo 9 del GDPR è stato violato, poiché il trattamento dei dati sanitari nel dossier elettronico non era supportato da una base giuridica valida né accompagnato dalle misure specifiche richieste per la protezione dei diritti degli interessati.
Tali violazioni sottolineano l’importanza di un approccio rigoroso alla gestione dei dati sanitari, che non può limitarsi a procedure burocratiche ma richiede una cultura della responsabilità e della sicurezza informatica, capace di prevenire danni agli utenti e garantire la conformità alla normativa europea e nazionale.
Sicurezza e Privacy by Design: le carenze del sistema
Il provvedimento del Garante ha inoltre messo in luce gravi carenze nella progettazione e nella gestione del dossier sanitario dell’Azienda Careggi. L’articolo 25 del GDPR introduce i principi di privacy by design e privacy by default, imponendo che ogni trattamento sia pianificato fin dall’inizio con misure tecniche e organizzative che proteggano i dati personali.
L’articolo 32, invece, richiede l’adozione di misure di sicurezza adeguate a preservare riservatezza, integrità e disponibilità dei dati.
Nel caso dell’Azienda Careggi, il sistema informatico non integrava tali garanzie, né prevedeva meccanismi di controllo sufficienti a prevenire accessi non autorizzati o altre forme di violazione.
Questa situazione evidenzia come l’innovazione digitale in sanità, seppur necessaria, debba essere accompagnata da strutture solide di protezione dei dati, con misure tecniche avanzate, procedure organizzative rigorose e formazione del personale, al fine di garantire la tutela di informazioni critiche e ridurre il rischio di danni ai pazienti e all’immagine della struttura sanitaria.
La sanzione amministrativa e la finalità dissuasiva
A seguito delle violazioni riscontrate, il Garante ha irrogato una sanzione pecuniaria di 80.000 euro nei confronti dell’Azienda Careggi, applicando i criteri di proporzionalità, effettività e dissuasività previsti dal GDPR. La quantificazione della sanzione ha tenuto conto della gravità e durata della violazione, della natura dei dati trattati, del numero di interessati e dell’impatto potenziale sulle persone coinvolte. La rilevanza dei dati sanitari ha reso la violazione particolarmente significativa, giustificando l’entità della misura.
Il caso Careggi sottolinea come strumenti digitali avanzati, come il dossier sanitario, possano essere adottati solo se accompagnati da una solida architettura normativa, tecnica e organizzativa, in linea con i principi di accountability, privacy by design e sicurezza del GDPR, proteggendo i diritti dei pazienti e la credibilità delle strutture sanitarie.