Sanzioni

Sanzioni del Garante in sanità: casi e importi

Sanzioni del Garante in sanità: i casi ricorrenti (dossier sanitario, referti errati, breach non cifrati) e le lezioni di conformità per ASL e cliniche.

Also available in:Español

Le sanzioni del Garante in sanità colpiscono in modo ricorrente cinque schemi: accessi non autorizzati al dossier sanitario, referti inviati al destinatario sbagliato, data breach su banche dati non cifrate, comunicazioni indebite di dati sanitari e assenza delle misure minime di sicurezza. Poiché i dati sanitari sono categorie particolari ex art. 9 GDPR, l’Autorità applica un livello di scrutinio più elevato e le sanzioni verso ASL, aziende ospedaliere e strutture private sono tra le più frequenti nella casistica italiana. Questa guida ricostruisce i pattern documentati dai provvedimenti del Garante e le lezioni operative per ciascuno.

Key Takeaways

  • I dati sanitari sono categorie particolari (art. 9 GDPR): richiedono base giuridica rafforzata e misure di sicurezza elevate.
  • Il pattern più sanzionato è l’accesso non autorizzato al dossier sanitario da parte di personale privo di relazione di cura con il paziente.
  • Referti a destinatari errati e breach su archivi non cifrati sono cause frequenti di provvedimenti.
  • La normativa di riferimento italiana è l’art. 75 e ss. del Codice Privacy (D.Lgs. 196/2003) sul trattamento in ambito sanitario.
  • La difesa più efficace è tecnica: cifratura, log degli accessi, profilazione dei permessi e formazione del personale.

Perché la sanità è un settore ad alto rischio sanzionatorio

Il dato sanitario rivela lo stato di salute: la sua diffusione è potenzialmente irreversibile e ad alto impatto sulla dignità della persona. Per questo l’art. 9 GDPR ne vieta in linea di principio il trattamento, salvo eccezioni — tra cui la finalità di cura (art. 9, par. 2, lett. h) e i motivi di interesse pubblico nel settore della sanità (lett. i). In Italia l’art. 2-sexies e l’art. 75 del Codice Privacy specificano le condizioni.

Da qui la severità del Garante. Quando valuta la gravità ex art. 83, par. 2 GDPR, l’Autorità considera la natura particolare dei dati come circostanza aggravante. Ecco perché anche breach di dimensioni contenute, se toccano cartelle cliniche, portano a provvedimenti sanzionatori.

I pattern ricorrenti nei provvedimenti del Garante

Dall’esame dei provvedimenti pubblicati e delle relazioni annuali dell’Autorità emergono schemi costanti.

Pattern Descrizione Misura preventiva chiave
Accesso abusivo al dossier Personale senza relazione di cura consulta la cartella Profilazione permessi + alert
Referto a destinatario errato Documento inviato al paziente sbagliato Verifica anagrafica + doppio controllo
Breach non cifrato Furto/perdita di supporti o server non protetti Cifratura at-rest e in-transit
Comunicazione indebita Dati sanitari comunicati a terzi non legittimati Base giuridica documentata
Log carenti Impossibile ricostruire chi ha visto cosa Tracciamento accessi (dlgs amministratori)

Il tema degli accessi è centrale. Il Garante ha ripetutamente affermato che il paziente ha diritto a conoscere chi ha consultato il proprio dossier, e che l’ospedale deve tracciare ogni accesso e limitarlo al personale effettivamente coinvolto nella cura. La mancanza di log degli accessi o l’assenza di alert su consultazioni anomale sono contestazioni tipiche.

Data breach nel settore: lo scenario ransomware

Il rischio più visibile degli ultimi anni è il ransomware sulle strutture sanitarie. Il caso Synlab Italia del 2024 — attacco ransomware con esfiltrazione e pubblicazione di dati diagnostici — è lo scenario emblematico: interruzione dei servizi, dati clinici finiti online, notifica agli interessati e istruttoria del Garante. Non commento importi non ancora consolidati, ma il caso illustra la sequenza che ogni struttura deve saper gestire.

La gestione di un incidente segue l’art. 33 GDPR: notifica al Garante entro 72 ore e, per i breach ad alto rischio come quelli sanitari, comunicazione agli interessati ex art. 34. La procedura corretta è descritta nella nostra guida alla notifica di violazione dei dati al Garante. Per il quadro più ampio dei rischi del comparto rimando alla guida GDPR per strutture sanitarie e ASL. Ogni evento va tracciato in un registro delle violazioni, parte integrante della procedura.

Le lezioni di conformità per pattern

Ogni schema sanzionatorio suggerisce una contromisura precisa.

  • Accessi al dossier: sistema di autorizzazioni basato sul ruolo, alert automatici su consultazioni fuori reparto, audit periodici dei log.
  • Referti: procedure di verifica del destinatario, con doppio controllo per l’invio cartaceo e digitale.
  • Sicurezza: cifratura, backup segregati e testati, aggiornamento dei sistemi — misure ex art. 32 GDPR.
  • Base giuridica: mappare ogni trattamento (FSE, dossier, ricerca, marketing sanitario) nel registro dei trattamenti con la corretta base ex art. 9.
  • Valutazione preventiva: i trattamenti su larga scala di dati sanitari richiedono una DPIA ex art. 35 GDPR, che il provvedimento del Garante n. 467/2018 include tra quelli soggetti a obbligo.

Le strutture pubbliche e le grandi aziende ospedaliere hanno inoltre l’obbligo di nominare un DPO ex art. 37, par. 1, lett. a GDPR.

Il fattore umano e il Fascicolo Sanitario Elettronico

Molti provvedimenti in sanità non nascono da attacchi informatici sofisticati, ma dal comportamento del personale. L’infermiere o l’amministrativo che consulta la cartella di un vicino di casa, del coniuge separato o di un personaggio noto commette un accesso abusivo che espone la struttura. Il Garante contesta in questi casi la carenza organizzativa del titolare: mancata profilazione dei permessi, assenza di alert, formazione inadeguata. La misura più efficace non è tecnologica ma gestionale — istruzioni scritte agli autorizzati al trattamento, formazione periodica e audit a campione dei log.

Il Fascicolo Sanitario Elettronico (FSE 2.0) aggiunge un livello di complessità: aggrega dati provenienti da soggetti diversi (medico di base, specialisti, farmacie, laboratori) e richiede una governance chiara di chi può accedere a cosa. Il Garante ha più volte richiamato l’esigenza di limitare l’accesso al personale coinvolto nell’episodio di cura in corso e di garantire all’assistito il controllo sull’oscuramento di specifiche informazioni. Per le strutture, il messaggio è coerente: la conformità in sanità si gioca sulla combinazione di misure tecniche (cifratura, log, controllo accessi) e misure organizzative (permessi, formazione, procedure), documentate e verificabili. Il quadro complessivo delle multe italiane, sanitarie e non, è nel riepilogo delle sanzioni del Garante privacy 2025. Gestire registri, DPIA e log degli accessi in modo tracciabile è esattamente il tipo di lavoro che una piattaforma come Legiscope centralizza per essere pronti a un audit.

FAQ

Qual è la sanzione più frequente in sanità?

L’accesso non autorizzato al dossier sanitario da parte di personale privo di relazione di cura con il paziente. Il Garante contesta in questi casi la carenza di misure di sicurezza (art. 32) e la violazione del principio di minimizzazione, spesso aggravata dall’assenza di log adeguati degli accessi.

I dati sanitari possono essere trattati senza consenso?

Sì, quando la base giuridica è la finalità di cura (art. 9, par. 2, lett. h GDPR) o un motivo di interesse pubblico nel settore sanitario (lett. i), come precisato dagli artt. 2-sexies e 75 del Codice Privacy. In quei casi il consenso non è la base corretta e chiederlo può anzi essere fuorviante.

Serve una DPIA per il dossier sanitario elettronico?

Sì. Il trattamento su larga scala di dati sanitari rientra tra quelli ad alto rischio; il provvedimento del Garante n. 467 dell’11 ottobre 2018 lo include nell’elenco dei trattamenti soggetti a valutazione d’impatto obbligatoria ex art. 35 GDPR.

Cosa deve fare una struttura colpita da ransomware?

Attivare il piano di risposta, valutare il rischio per gli interessati e notificare il breach al Garante entro 72 ore (art. 33). Se il rischio è elevato — come quasi sempre per i dati clinici — comunicarlo anche ai pazienti (art. 34), oltre a ripristinare i sistemi da backup segregati.

Vedi anche: la guida completa al GDPR in sanità per strutture sanitarie e ASL.


Fonti ufficiali: i provvedimenti del Garante per la protezione dei dati personali, il testo del GDPR su EUR-Lex e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →