Accountability e dati sanitari: perché la responsabilità non è dell’“errore umano”

Accountability e dati sanitari: perché la responsabilità non è dell’“errore umano”

Con l'ordinanza ingiunzione del 25 settembre 2025, il Garante per la protezione dei dati personali ha sanzionato l'Azienda Ospedaliero-Universitaria di Ferrara per aver trattato illecitamente i dati sanitari di una propria dipendente. La decisione scaturisce da un reclamo che ha portato alla luce gravi carenze nelle misure di sicurezza adottate dalla struttura, le quali hanno permesso un accesso non autorizzato al dossier sanitario dell'interessata e la successiva diffusione di informazioni sensibili tra colleghi tramite l'applicazione di messaggistica WhatsApp.

Il caso in esame costituisce un esempio emblematico delle violazioni che possono verificarsi in ambito sanitario quando non vengono implementate adeguate misure tecniche e organizzative a protezione dei dati relativi alla salute, i quali, per loro natura, richiedono un livello di tutela particolarmente elevato .

Il Contesto della Violazione e i Principi Infranti

La vicenda ha origine dalla scoperta, da parte di una dipendente dell'ospedale, che informazioni cliniche riservate, relative a un suo ricovero, erano state visualizzate da personale non autorizzato e condivise in una chat di gruppo. L'istruttoria ha rivelato che l'accesso illecito è stato reso possibile dall'utilizzo di "utenze interne generiche non adeguatamente controllate".

Questa pratica si pone in netto contrasto con i principi fondamentali del Regolamento Generale sulla Protezione dei Dati (GDPR). In particolare, sono stati violati:

  1. Il principio di "integrità e riservatezza": L'articolo 5, paragrafo 1, lettera f), del GDPR impone che i dati personali siano "trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti" . La divulgazione non autorizzata tramite WhatsApp e l'accesso tramite credenziali generiche rappresentano una palese violazione di tale principio.
  2. La sicurezza del trattamento (Art. 32 GDPR): Tale articolo obbliga il titolare del trattamento a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio. L'utilizzo di utenze generiche e condivise è una delle carenze più gravi in termini di sicurezza informatica. Questa pratica comporta la "perdita di univocità delle credenziali di accesso rispetto al titolare assegnatario delle stesse", rendendo impossibile tracciare con certezza chi ha compiuto una determinata operazione e, di conseguenza, vanificando ogni forma di controllo e accountability. La giurisprudenza e i provvedimenti del Garante hanno più volte sottolineato la necessità di predisporre profili di accesso dedicati e nominali, evitando credenziali condivise, specialmente se dotate di privilegi amministrativi.
  3. La speciale tutela dei dati relativi alla salute (Art. 9 GDPR): I dati sanitari sono classificati come "categorie particolari di dati personali", il cui trattamento è, in linea di principio, vietato. Tale trattamento è ammesso solo in presenza di specifiche condizioni, tra cui la necessità per finalità di cura, ma sempre a condizione che siano previste "misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato". La loro natura sensibile impone una "maggiore protezione", poiché il loro trattamento può creare "rischi significativi per i diritti e le libertà fondamentali" . La diffusione incontrollata di tali dati, come avvenuto nel caso di specie, costituisce una violazione di particolare gravità.

La Responsabilità del Titolare del Trattamento

Sebbene l'accesso e la condivisione materiale dei dati siano stati posti in essere da singoli dipendenti, la responsabilità della violazione ricade sull'Azienda Ospedaliera in qualità di titolare del trattamento. Il principio di "responsabilizzazione" (accountability), sancito dall'art. 5, paragrafo 2, del GDPR, stabilisce che il titolare è competente per il rispetto dei principi del Regolamento e deve essere in grado di comprovarlo .

L'incidente non può essere liquidato come un mero "errore umano", in quanto rivela profonde carenze organizzative . Incombe sul titolare l'obbligo di:

  • Identificare le vulnerabilità degli strumenti elettronici utilizzati e prevenire usi non controllati da parte del personale.
  • Adottare misure di sicurezza adeguate, come l'implementazione di sistemi di autenticazione forte, la segmentazione delle reti, l'aggiornamento dei software e, soprattutto, l'assegnazione di credenziali di autenticazione nominali e individuali.
  • Fornire istruzioni specifiche e dettagliate al personale incaricato, sensibilizzandolo sul corretto trattamento dei dati.
  • Implementare sistemi di controllo e audit log per verificare ex-post la correttezza degli accessi e rilevare eventuali anomalie.

La presenza di utenze generiche dimostra che l'Azienda non ha adottato le misure minime necessarie per garantire la sicurezza e la tracciabilità degli accessi, venendo meno ai propri obblighi di titolare del trattamento.

Le Misure Sanzionatorie e Correttive

In risposta a tali gravi violazioni, il Garante ha irrogato una sanzione amministrativa pecuniaria di 20.000 euro. La quantificazione della sanzione è avvenuta in conformità con l'articolo 83 del GDPR, che impone di considerare diversi fattori, tra cui:

  • La natura, la gravità e la durata della violazione: L'accesso e la diffusione illecita di dati sanitari sono considerati di natura grave.
  • Il carattere colposo della violazione: La mancata adozione di misure di sicurezza basilari configura una negligenza grave da parte del titolare.
  • Le categorie di dati personali interessate: Il fatto che si tratti di dati relativi alla salute è un fattore aggravante.

Oltre alla sanzione pecuniaria, il Garante ha emesso un'ingiunzione di conformarsi alle misure richieste per sanare le carenze riscontrate. Ha inoltre disposto, come misura accessoria, la pubblicazione del provvedimento, tenuto conto della natura dei dati trattati e della gravità della violazione, al fine di massimizzare l'efficacia dissuasiva della decisione.

Conclusioni

Il provvedimento contro l'Azienda Ospedaliero-Universitaria di Ferrara ribadisce con forza un principio non negoziabile nella gestione dei dati sanitari: la sicurezza e la riservatezza devono essere garantite "by design" e "by default", a partire da una corretta gestione delle identità digitali e dei permessi di accesso. L'uso di credenziali generiche o condivise in un contesto così delicato è una pratica inaccettabile che annulla l'accountability e apre la porta ad abusi e violazioni. Il caso serve da monito per tutte le strutture sanitarie, sottolineando come la protezione dei dati dei pazienti non sia un mero adempimento burocratico, ma un obbligo giuridico e un dovere etico fondamentale, la cui violazione comporta precise e severe responsabilità per il titolare del trattamento.

Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti.

Torna al blog