Garante per la protezione dei dati personali, Provvedimento n. 533 del 25 settembre 2025 (10185490)-Illecito trattamento di dati relativi alla salute tramite dossier sanitario. Sulla riservatezza del paziente dipendente dell’ospedale

Pres. rel. P. Stanzione, Segr. gen. A. Fanizza

Diritti della persona – Diritto alla protezione dei dati personali – Trattamento di dati sanitari – Principi di base del trattamento – Linee guida in materia di dossier sanitario – Violazione.

Con il provvedimento n. 533 del 25 settembre 2025, il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di dati personali effettuato da un’Azienda Ospedaliero-Universitaria e ha irrogato una sanzione amministrativa pecuniaria di 20.000 euro.

Il procedimento trae origine dal reclamo di una dipendente dell’ospedale che aveva lamentato la diffusione, nell’ambiente di lavoro, di informazioni estremamente riservate riguardanti un aborto avvenuto dopo un trattamento di procreazione medicalmente assistita. Secondo la ricorrente, tali dati erano stati verosimilmente consultati in modo illecito attraverso il dossier sanitario elettronico aziendale, denominato “Patient Organizer”, parte del sistema informativo ospedaliero SAP.

Dalle verifiche svolte dal Garante è emerso che, all’epoca dei fatti, all’interno dell’Azienda erano ancora operative alcune utenze “generiche” condivise da più operatori, in particolare nel reparto di radiologia, che consentivano di accedere ai dati clinici dei pazienti senza poter identificare con certezza chi avesse effettuato le consultazioni. Oltre a ciò, risultava possibile per diverse categorie di utenti – tra cui personale amministrativo, medici del lavoro, medici legali e infermieri – accedere al dossier sanitario anche per finalità estranee alla cura del paziente, talvolta selezionando motivazioni generiche come “altra motivazione”. I controlli sugli accessi, inoltre, venivano eseguiti solo manualmente e in modo non sistematico, rendendo difficile individuare comportamenti anomali o indebiti.

Nel corso dell’istruttoria l’Azienda ha riconosciuto le criticità evidenziate, dichiarando di aver eliminato le utenze non nominali e di essere impegnata nella realizzazione di un nuovo sistema informativo, denominato “Clinical Data Repository” (CDR), che avrebbe previsto profili di accesso più rigorosi e procedure di sicurezza aggiornate. Tuttavia, tali misure sono state ritenute dal Garante solo parziali e temporanee.

L’Autorità ha accertato la violazione di diversi principi fondamentali del Regolamento (UE) 2016/679, in particolare quelli di liceità, correttezza, limitazione della finalità, minimizzazione, integrità e riservatezza (art. 5, par. 1, lett. a, b, c e f, in relazione specialmente all’art. 9 GDPR), oltre agli obblighi di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25, in combinato disposto con l’art. 32 GDPR). È stata inoltre rilevata la violazione delle “Linee guida sul dossier sanitario” del 4 giugno 2015, le quali impongono che l’accesso al dossier sia riservato esclusivamente al personale sanitario coinvolto nel percorso di cura e che le modalità di autenticazione siano tali da garantire la tracciabilità di ogni operazione.

Secondo il Garante, la configurazione del sistema informatico dell’Azienda consentiva un accesso eccessivamente ampio, non limitato al tempo e alle esigenze del processo di cura, e permetteva il trattamento dei dati sanitari anche per finalità organizzative e amministrative, come quelle di medicina del lavoro o di farmacovigilanza. Tali utilizzi sono stati ritenuti contrari ai principi di limitazione della finalità e di minimizzazione, poiché il dossier sanitario – per sua natura facoltativo e potenzialmente incompleto a causa del diritto di oscuramento – non può essere impiegato per tali scopi. L’Autorità anzi precisa espressamente che il dossier sanitario «può essere utilizzato esclusivamente per finalità di cura dell’interessato».

Si è «più volte evidenziato – chiarisce il Garante – che, attesa la natura facoltativa del dossier e l’incompletezza informativa di tale strumento (cfr. diritto di oscuramento), lo stesso non può essere utilizzato per finalità riconducibili alla gestione di esigenze organizzative e amministrative del titolare anche nell’ipotesi in cui, come nel caso di specie, lo stesso assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata (cfr. Provvedimento del 26 maggio 2022, doc. web n. 9791909 e provvedimento del 12 ottobre 2023, doc. web n. 9954220). In via generale, infatti, il datore di lavoro può trattare i dati personali dei lavoratori (art. 4, n. 1, del Regolamento), anche relativi a “categorie particolari”, nella gestione del rapporto di lavoro, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; artt. 2-ter e 2- sexies del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139). Più nello specifico, il trattamento dei dati relativi alla salute dei dipendenti può essere legittimamente posto in essere solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, parr. 2, lett. b), e 4, del Regolamento; v. pure, art. 88, del Regolamento e cons. 51-53; cfr., anche Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1, del d.lgs 10 agosto 2018, n. 101, doc. web n. 9124510)».

Oltre a dichiarare l’illiceità del trattamento, il Garante ha imposto all’Azienda alcune misure correttive specifiche (ex art. 58, par. 2, GDPR). In particolare, è stato ordinato di eliminare l’accesso al dossier tramite la modalità “farmacovigilanza”, consentendo ai soggetti competenti di operare su basi dati distinte e complete, e di limitare l’accesso del personale infermieristico incaricato dell’attestazione di prestazioni specialistiche al solo elenco delle prestazioni, escludendo la consultazione dei referti e delle cartelle cliniche. Entro novanta giorni, l’Azienda dovrà inoltre trasmettere la documentazione attestante l’attuazione di tali misure e le modalità di gestione degli accessi nel nuovo sistema CDR.

Nel determinare l’entità della sanzione, ai sensi dell’art. 83 GDPR, l’Autorità ha considerato la particolare delicatezza dei dati trattati, riguardanti la salute di circa 175.000 pazienti, la lunga durata delle violazioni (risalenti al 2011-2012) e l’importanza delle carenze riscontrate in materia di sicurezza e profilazione degli accessi. Allo stesso tempo, sono stati valutati positivamente la collaborazione dell’Azienda e l’adozione di primi interventi correttivi.

Il Garante sottolinea ancora una volta, in questo provvedimento, la particolare sensibilità dei dati personali interessati dalla violazione sotto il profilo dei diritti e delle libertà fondamentali, per loro natura, trattandosi di dati relativi alla salute.