LA SANZIONE DEL MERCOLEDÌ: nasce la nuova rubrica dell’Osservatorio
Con il presente contributo prende avvio una nuova rubrica settimanale intitolata “La Sanzione del Mercoledì”, dedicata all’analisi dei provvedimenti del Garante per la protezione dei dati personali.
L’obiettivo è fornire una lettura critica e divulgativa delle decisioni più significative, mettendo in luce i profili giuridici di maggiore interesse per professionisti, imprese e pubbliche amministrazioni. Ogni settimana sarà esaminato un caso concreto, con particolare attenzione agli aspetti sanzionatori, agli obblighi violati e alle conseguenze operative che ne derivano.
Il fine non è soltanto quello di illustrare la dinamica della sanzione, ma soprattutto di tracciare spunti utili per la compliance e per la costruzione di una cultura della responsabilità digitale. In un contesto in cui la protezione dei dati personali assume un ruolo sempre più strategico, questa rubrica vuole essere un punto di riferimento per chi desidera comprendere come il diritto della privacy si traduca in pratica quotidiana.
Veniamo subito al dunque.
Il Garante per la protezione dei dati personali ha irrogato una sanzione di 80.000 euro (premere qui per leggere) a una grande azienda ospedaliera universitaria del centro Italia, per l’utilizzo del dossier sanitario elettronico in violazione delle regole europee e nazionali sulla protezione dei dati.
Dall’attività ispettiva è emerso che i pazienti non erano adeguatamente informati dell’esistenza del dossier sanitario né era acquisito un consenso specifico per il relativo trattamento, nonostante le linee guida del Garante del 2015 e le disposizioni del Regolamento (UE) 2016/679 prevedano obblighi stringenti in materia di trasparenza e consenso informato.
Le principali criticità riscontrate riguardavano:
- la mancata predisposizione di informative aggiornate e comprensibili;
- l’assenza di procedure per consentire l’oscuramento parziale di singoli eventi clinici;
- profili di autorizzazione non coerenti con il principio di minimizzazione, che consentivano accessi più ampi rispetto a quelli strettamente necessari;
- l’assenza di sistemi di monitoraggio automatico per rilevare accessi anomali o non autorizzati.
Soltanto dopo l’avvio dell’istruttoria, l’ente sanitario ha adottato numerose misure correttive: aggiornamento delle informative, introduzione di procedure informatizzate per la raccolta dei consensi mediante codice OTP, nuove policy sugli accessi, formazione obbligatoria per il personale sanitario e implementazione di controlli sugli accessi.
Il Garante ha ritenuto la violazione grave e prolungata (2011-2025), coinvolgendo un numero significativo di pazienti e trattando dati di natura estremamente sensibile. Tuttavia, la collaborazione successiva dell’ente e l’adozione di misure correttive hanno evitato conseguenze più severe, limitando la sanzione pecuniaria all’importo sopra indicato.
Il caso conferma un principio cardine: il dossier sanitario è uno strumento utile ma non obbligatorio. Deve essere attivato solo previo consenso informato e deve garantire all’interessato la possibilità di limitare l’accesso a determinati eventi clinici, in ossequio ai principi di liceità, correttezza, trasparenza e minimizzazione dei dati.
L’episodio costituisce un richiamo per tutte le strutture sanitarie: l’adozione di sistemi digitali per la gestione delle informazioni cliniche non può prescindere da un rigoroso rispetto della normativa in materia di protezione dei dati personali, pena sanzioni rilevanti e danni reputazionali.
The post LA SANZIONE DEL MERCOLEDÌ: dossier sanitario e violazioni della privacy in ambito ospedaliero first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
