Con il provvedimento n. 587 del 9 ottobre 2025, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento svolto da un primario ospedale privato del Nord Italia, irrogando una sanzione di 70.000 euro per gravi violazioni dei principi di integrità, riservatezza e sicurezza nel trattamento dei dati relativi alla salute dei pazienti.
Il caso è complesso e tocca aspetti cruciali della gestione dei dati sanitari:
- un campione biologico prelevato in sala operatoria, erroneamente distrutto prima dell’esame istologico;
- un DVD radiologico, consegnato dalla paziente per confronto diagnostico, smarrito e sostituito da un supporto appartenente a un altro soggetto;
- la mancata notifica di data breach all’Autorità, ritenuta illegittima.
1. Il reclamo: due errori, una sola vittima
La paziente aveva segnalato due fatti distinti, innanzitutto l’erroneo smaltimento del campione tissutale asportato durante un intervento, destinato all’esame istologico richiesto espressamente per ragioni cliniche, e poi la consegna, durante una visita successiva, di un DVD radiologico non suo, proveniente da un paziente diverso, e la mancata restituzione del proprio supporto, poi dichiarato irreperibile.
Entrambi gli episodi hanno inciso sul percorso diagnostico-terapeutico, rendendo impossibile un esame essenziale e privando il medico del materiale utile al follow-up.
2. Le difese dell’ospedale
L’ospedale ha ricondotto l’accaduto a una somma di errori umani, sottolineando che il campione era stato smaltito per un fraintendimento tra chirurgo e infermiere, e che il percorso di follow-up era stato immediatamente attivato, evitando — a loro dire — rischi per la paziente.
Per quanto riguarda invece il DVD, l’ospedale non poteva ricostruire con certezza se lo smarrimento fosse avvenuto nei propri locali o successivamente, quando il materiale era in mano alla paziente e la violazione di dati era stata valutata come a rischio basso, motivo per cui non era stata notificata ai sensi dell’art. 33 GDPR.
Ma nonostante queste argomentazioni, l’Autorità ha ritenuto insufficienti le giustificazioni e carenti le misure tecniche e organizzative.
3. Il quadro giuridico: cosa richiede il GDPR in ambito sanitario
Il Garante ha applicato in modo rigoroso i principi cardine del trattamento dei dati sanitari:
Art. 5, par. 1, lett. f) GDPR — integrità e riservatezza: il titolare deve evitare distruzione, perdita o danno accidentale dei dati.
Art. 32 GDPR — sicurezza del trattamento: misure tecniche e organizzative devono essere adeguate alla natura dei dati e al rischio.
Art. 33 GDPR — notifica delle violazioni: obbligo di notificare entro 72 ore, salvo improbabilità del rischio per i diritti e le libertà dell’interessato.
Il campione tissutale, come chiarito dall’Autorità, costituisce dato sanitario ai sensi dell’art. 9 GDPR, poiché rivela informazioni sullo stato di salute e sull’attività clinica effettuata.
4. Le valutazioni dell’Autorità
Il Garante ha distinto i due episodi:
4.1 Distruzione del campione chirurgico
L’eliminazione accidentale del campione ha prodotto una violazione irreversibile della disponibilità dei dati, un impatto materiale sul percorso terapeutico, e un rischio concreto per i diritti della paziente, poiché l’esame istologico era stato richiesto per specifica necessità clinica.
La condotta integra violazione degli artt. 5, par. 1, lett. f) e 32 GDPR.
4.2 Smarrimento del DVD e consegna del supporto errato
Non è stato possibile stabilire con certezza la responsabilità dell’ospedale nella perdita del DVD o nella comunicazione dei dati del terzo.
Per questo motivo l’Autorità ha archiviato le contestazioni relative all’art. 9 GDPR.
4.3 Mancata notifica del data breach
Il Garante ha respinto la valutazione del titolare secondo cui la violazione avrebbe comportato solo un rischio “basso”, e in particolare la perdita del campione è un evento non rimediabile, e la sua distruzione ha impedito un accertamento diagnostico necessario e dunque non può dirsi rispettata la condizione di “improbabilità del rischio” richiesta dall’art. 33 GDPR.
Di conseguenza è stata accertata la violazione dell’art. 33 GDPR.
5. La decisione: sanzione e pubblicazione
L’Autorità ha ritenuto integrate le seguenti violazioni:
- art. 5, par. 1, lett. f) GDPR (integrità e riservatezza);
- art. 32 GDPR (misure di sicurezza);
- art. 33 GDPR (mancata notifica del data breach).
La sanzione complessiva è stata determinata in 70.000 euro, di cui 50.000 euro per violazioni di sicurezza e i restanti 20.000 euro per mancata notifica.
È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante, quale sanzione accessoria.
6. Considerazioni finali
Il caso conferma un assunto fondamentale:
nella sanità, la sicurezza dei dati coincide con la sicurezza delle cure.
La perdita accidentale di un campione o di un supporto diagnostico non è solo un problema organizzativo: è una violazione dei diritti fondamentali della persona, che il GDPR tutela con particolare intensità.
Il provvedimento ribadisce che la protezione dei dati sanitari deve essere progettata come parte integrante del percorso clinico, i processi interni devono ridurre al minimo il rischio di errori umani e che la valutazione del rischio di un data breach deve essere conservativa, non autoassolutoria.
Sull'autore
