Dati sanitari consegnati per errore: no al risarcimento senza conseguenze provate

Dati sanitari consegnati per errore: no al risarcimento senza conseguenze provate

a sanzione del Garante Privacy non determina automaticamente il diritto al risarcimento del danno in sede civile. È il principio affermato dal Tribunale di Cagliari con la sentenza n. 970 del 15 aprile 2026, pronunciata in un caso di errata consegna di documentazione sanitaria. Un’azienda sanitaria era stata sanzionata dal Garante per 8.000 euro dopo aver consegnato a una paziente dati riferiti a un’altra persona, contenenti anche informazioni particolarmente delicate, tra cui diari clinici, terapie farmacologiche e annotazioni di natura psichiatrica. Il data breach, dunque, era stato accertato. Tuttavia, secondo il giudice civile, questo non era sufficiente per riconoscere il risarcimento. Il provvedimento del Garante opera infatti sul piano amministrativo, mentre il giudice civile deve verificare se dalla violazione sia derivato un danno concreto, effettivo e causalmente collegato all’illecito.

Violazione accertata, ma senza prova delle conseguenze il danno non si presume

Il Tribunale ha rigettato la domanda risarcitoria della paziente, distinguendo tra la violazione in sé e le sue conseguenze concrete. Nel caso esaminato, secondo il giudice, era dimostrato il cosiddetto danno-evento, cioè l’illecita comunicazione dei dati personali e sanitari. Non era invece provato il danno-conseguenza, vale a dire il pregiudizio effettivamente subito dalla persona a causa del data breach.

La sentenza ribadisce così che il danno non patrimoniale non è “in re ipsa”: non nasce automaticamente dal solo fatto che vi sia stata una violazione della normativa privacy. Chi agisce in giudizio deve allegare e dimostrare la lesione di un diritto costituzionalmente rilevante, la gravità dell’offesa, l’effettività del pregiudizio e il nesso causale tra condotta illecita e danno lamentato. Nel caso concreto, il Tribunale ha valorizzato diversi elementi: la violazione aveva coinvolto soltanto due persone, i documenti erano stati restituiti nella stessa giornata e non era stato provato un aggravamento dello stato d’ansia della paziente. Il disagio lamentato, quindi, è stato considerato insufficiente a fondare una condanna risarcitoria.

Il confronto con l’Europa e la lezione pratica per chi chiede il risarcimento

La pronuncia mette in luce un punto delicato: il rapporto tra l’orientamento italiano, tradizionalmente più rigoroso, e quello della Corte di Giustizia dell’Unione Europea. Anche la giurisprudenza europea esclude ogni automatismo: per ottenere il risarcimento servono una violazione del GDPR, un danno materiale o immateriale e un nesso causale tra i due. Tuttavia, la Corte Ue ha chiarito che non è necessaria una soglia minima di gravità del danno. Anche sentimenti negativi come timore, ansia, preoccupazione o perdita di controllo sui propri dati possono essere rilevanti, purché siano reali, provati e collegati alla violazione.

Qui si apre la tensione interpretativa: per i giudici italiani resta centrale il filtro del danno serio, grave e non bagatellare; per l’approccio europeo, invece, il punto decisivo non è tanto la gravità minima, quanto la concreta dimostrazione del pregiudizio. La sentenza di Cagliari offre quindi una lezione pratica importante: il data breach è una condizione necessaria, ma non sufficiente. Non basta affermare che i propri dati siano stati violati o che il Garante abbia già sanzionato il titolare del trattamento. Occorre dimostrare cosa è accaduto dopo la violazione, quali conseguenze personali siano derivate e perché quelle conseguenze dipendano proprio dall’errore commesso.

Medici e professionisti sanitari, chiamati ogni giorno a gestire dati particolarmente delicati, possono rivolgersi agli esperti di Ok Privacy per ricevere supporto legale nella prevenzione e nella gestione dei rischi legati al trattamento dei dati personali. Un’assistenza qualificata può aiutare a evitare errori, contenziosi e conseguenze sanzionatorie.

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti

Torna al blog