1. Definizione e Qualificazione Giuridica dei Dati Sanitari

I dati relativi alla salute sono definiti dall’articolo 4, paragrafo 1, numero 15, del Regolamento (UE) 2016/679 (GDPR) come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Questa nozione ampia include non solo informazioni tradizionali come diagnosi, referti e terapie, ma anche qualsiasi dato (come un numero identificativo univoco) dal quale si possano desumere informazioni sullo stato di salute di un individuo.

Tali dati sono classificati come “categorie particolari di dati personali” ai sensi dell’articolo 9 del GDPR. Il loro trattamento è, in linea di principio, vietato, data la loro natura estremamente sensibile e i rischi significativi che un loro trattamento improprio potrebbe comportare per i diritti e le libertà fondamentali delle persone fisiche, come evidenziato dal Considerando 51 del Regolamento.

2. Quadro Normativo di Riferimento
3. Dati Sanitari: Aspetti Critici nella Protezione

La gestione dei dati sanitari è disciplinata da un complesso quadro normativo che integra fonti europee e nazionali:

1. Regolamento (UE) 2016/679 (GDPR): È la fonte normativa principale. L’articolo 9 stabilisce il divieto generale di trattamento delle categorie particolari di dati e le relative eccezioni. L’articolo 32 impone l’adozione di misure di sicurezza adeguate al rischio, mentre l’articolo 25 sancisce i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design & by Default).
2. Codice in materia di protezione dei dati personali (D.Lgs. 196/2003): Come novellato dal D.Lgs. 101/2018, il Codice integra e specifica le disposizioni del GDPR nell’ordinamento italiano, con norme specifiche per il settore sanitario (es. artt. 75 e ss.).
3. Provvedimenti del Garante per la protezione dei dati personali: L’Autorità ha emanato numerosi provvedimenti e linee guida per fornire indicazioni operative agli operatori del settore. Tra questi, i “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019 e le “Prescrizioni relative al trattamento di categorie particolari di dati” del 5 giugno 2019 sono di fondamentale importanza.

3. Principi e Basi Giuridiche per il Trattamento Lecito

Il divieto di trattamento dei dati sanitari di cui all’art. 9, par. 1, del GDPR può essere superato solo in presenza di una delle condizioni di liceità elencate al paragrafo 2 dello stesso articolo. Per l’ambito sanitario, le basi giuridiche più rilevanti sono:

• Finalità di cura (Art. 9, par. 2, lett. h): Il trattamento è necessario per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”. Tale trattamento deve avvenire sulla base del diritto dell’Unione o degli Stati membri o di un contratto con un professionista della sanità e deve essere effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale.
• Consenso esplicito dell’interessato (Art. 9, par. 2, lett. a): Per finalità diverse dalla cura (es. utilizzo di app per il monitoraggio dello stile di vita, trattamenti per finalità commerciali o promozionali), è necessario acquisire il consenso esplicito, libero, specifico e informato dell’interessato.
• Motivi di interesse pubblico nel settore della sanità pubblica (Art. 9, par. 2, lett. i): Questa base giuridica è utilizzata, ad esempio, per il monitoraggio delle epidemie o per altre minacce sanitarie transfrontaliere, e deve essere prevista da una norma di legge.

Indipendentemente dalla base giuridica, ogni trattamento deve rispettare i principi fondamentali dell’articolo 5 del GDPR: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

4. Misure di Sicurezza Tecniche e Organizzative

L’articolo 32 del GDPR impone al titolare e al responsabile del trattamento di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Data l’elevata sensibilità dei dati sanitari, sono richiesti i più elevati standard di sicurezza.

5. Rischi e Responsabilità in caso di Violazione

La gestione inadeguata dei dati sanitari espone il titolare a gravi conseguenze.

• Sanzioni Amministrative: Il Garante può irrogare sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, a seconda della gravità della violazione (art. 83 GDPR).
• Diritto al Risarcimento del Danno (Art. 82 GDPR): Chiunque subisca un danno, materiale o immateriale, a causa di una violazione del GDPR ha diritto a ottenere un risarcimento. La giurisprudenza ha chiarito che:

• • La responsabilità del titolare è presunta: è suo onere dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

• • Il danno non è in re ipsa (automatico): la mera violazione della norma non è sufficiente. L’interessato deve provare di aver subito un danno effettivo e il nesso causale con la violazione.

• • Anche una “perdita del controllo” sui propri dati può costituire un danno immateriale risarcibile, purché l’interessato dimostri di aver subito un pregiudizio effettivo, “per quanto minimo”.

Conclusioni

La protezione dei dati sanitari è un obbligo giuridico non derogabile e un imperativo etico. Non è sufficiente affidarsi a misure di sicurezza generiche; è necessario un approccio olistico e proattivo, basato sui principi di Privacy by Design e by Default Cit. 41. Le organizzazioni sanitarie devono integrare la protezione dei dati in ogni processo, adottando misure tecniche e organizzative rigorose, garantendo una formazione costante del personale e mantenendo un alto livello di vigilanza. Solo così è possibile tutelare la riservatezza degli individui, mantenere la loro fiducia e mitigare i severi rischi legali, finanziari e reputazionali associati a una gestione non conforme.

L’Italia ha recepito NIS2 con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, che è entrato in vigore il 16 ottobre 2024.

Cosa cambia con NIS2 rispetto alla versione precedente

• Maggiore ampiezza del perimetro soggettivo: più settori diventano coperti, compresi alcuni che prima non lo erano; anche le dimensioni aziendali (numero di dipendenti, fatturato) diventano criteri oggettivi per stabilire se un’organizzazione rientra.
• Obblighi più stringenti in tema di gestione del rischio, continuità operativa, segnalazione degli incidenti e sicurezza della supply chain.
• Misure organizzative e tecniche più robuste: autenticazione multifattoriale, sicurezza delle comunicazioni, cifratura, protezione delle vulnerabilità, gestione dei fornitori.
• Maggiore responsabilizzazione degli organi aziendali, non solo dei reparti IT, anche del management e degli organi di governo.
• Rafforzamento dei poteri di vigilanza delle autorità nazionali, ispezioni, audit, sanzioni più severe per le violazioni.

Obblighi principali sottoposti dalla NIS2 alle aziende soggette

Le imprese che rientrano nel perimetro di NIS2 devono adottare una serie di misure. Ecco le principali:

1. Gestione del rischio informatico: valutazioni periodiche, identificazione delle vulnerabilità, protezione della supply chain, piani di mitigazione.
2. Continuità operativa e resilienza: piani di disaster recovery, piani di continuità, gestione degli impatti derivanti da incidenti, riduzione dei tempi di interruzione.
3. Notifica degli incidenti: obbligo di segnalazione tempestiva (entro 24 ore dall’identificazione dell’incidente significativo), con report ulteriori e collaborazione con le autorità competenti.
4. Misure tecniche di sicurezza: autenticazione forte / multifattoriale, cifratura, protezione delle reti, sicurezza dei sistemi di comunicazione, gestione delle vulnerabilità note.
5. Formazione e consapevolezza: attività regolari di formazione su minacce informatiche per tutto il personale; coinvolgimento dei livelli dirigenziali.
6. Audit, verifiche e conformità: controlli interni ed esterni, ispezioni da parte dell’ACN (Agenzia per la Cybersicurezza Nazionale), documentazione, tracciabilità delle attività e delle misure adottate.
7. Protezione della supply chain: obblighi estesi ai fornitori diretti; verifica che anche i fornitori adottino misure adeguate.

Tempistiche e scadenze rilevanti

• La direttiva UE è entrata in vigore il 16 gennaio 2023.
• L’Italia ha recepito con il D.Lgs. n. 138/2024, in Gazzetta Ufficiale il 1° ottobre 2024, effettivo dal 16 ottobre 2024.
• Le aziende interessate devono già aver iniziato i processi di implementazione; alcune disposizioni richiedono adempimenti immediati, altre prevedono periodi di adattamento per misure più complesse.

Rischi per le aziende che non si adeguano

• Sanzioni amministrative: possono arrivare a cifre rilevanti, percentuali del fatturato, a seconda della gravità della violazione.
• Rischi operativi: attacchi, interruzioni del servizio, perdita di dati, danni reputazionali.
• Perdita di opportunità: impossibilità di partecipare a gare pubbliche, perdere contratti con soggetti che richiedono compliance normativa.
• Obbligo di controllo da parte dell’autorità competente: ACN in Italia, ispezioni, audit, documentazione richiesta.

Fonti

Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE.

Corte dei Conti – Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato.

Piccirilli, R. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.

Cerimoniale, D. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.

L’articolo 1 del Regolamento ne delinea il duplice scopo: da un lato, stabilire norme per la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali; dall’altro, definire le regole per la libera circolazione di tali dati all’interno dell’Unione. Il GDPR, quindi, non si limita a imporre vincoli, ma mira a bilanciare due esigenze fondamentali dell’era digitale:

1. Proteggere i diritti e le libertà fondamentali delle persone fisiche, con un’enfasi particolare sul diritto alla protezione dei dati personali.
2. Garantire la libera circolazione dei dati personali, riconoscendola come un elemento necessario per lo sviluppo economico e sociale nel mercato unico digitale.

In un contesto di rapido sviluppo tecnologico, che ha profondamente modificato l’economia e le relazioni sociali, il Regolamento ha istituito un sistema di regole volto a tutelare gli individui dagli effetti potenzialmente negativi derivanti da un uso incontrollato delle loro informazioni personali, senza tuttavia ostacolare il progresso e l’innovazione.

La Nozione di “Dato Personale”

Il fulcro della disciplina è la definizione di “dato personale”. L’articolo 4, paragrafo 1, n. 1) del GDPR lo definisce come:

«qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

Da questa definizione emergono alcuni elementi chiave:

• “Qualsiasi informazione”: Il legislatore ha adottato un approccio volutamente ampio. Non solo dati anagrafici, ma qualsiasi tipo di informazione può essere considerata un dato personale, a condizione che riguardi una persona fisica.
• “Persona fisica”: La tutela del GDPR si applica esclusivamente alle persone fisiche, non alle persone giuridiche (es. società, enti, associazioni).
• “Identificata o identificabile”: Questo è il criterio dirimente. Un’informazione costituisce un dato personale se permette di identificare una persona (identificazione diretta, es. tramite nome e cognome) o se, attraverso l’incrocio con altre informazioni o l’uso di mezzi ragionevolmente utilizzabili, consente di “individuare” una persona all’interno di un gruppo (identificazione indiretta). Non è necessario conoscere l’identità anagrafica di una persona per trattare i suoi dati personali; è sufficiente poterla distinguere da altre.

Esempi Concreti di Dati Personali

La casistica di dati personali è estremamente vasta e in continua evoluzione. Alcuni esempi includono:

• Dati comuni e anagrafici: Nome, cognome, indirizzo di residenza, numero di telefono.
• Identificativi numerici: Un numero di identificazione (es. codice fiscale), il numero di un documento, un numero d’ordine associato a un cliente.
• Dati economici: Coordinate bancarie (IBAN), dati relativi al reddito, storico degli acquisti.
• Identificativi online: Indirizzo IP, indirizzi e-mail, ID di un dispositivo, ID pubblicitari e altri cookie. La Corte di Giustizia ha confermato che anche una stringa di caratteri contenente le preferenze di un utente (come la Transparency and Consent String o TC String) costituisce un dato personale se, associata a un identificativo come l’indirizzo IP, consente di identificare l’interessato.
• Dati relativi all’ubicazione: Dati GPS o altre informazioni che localizzano un individuo.
• Elementi caratteristici dell’identità: Una registrazione vocale, un’immagine ripresa da un sistema di videosorveglianza, il colore degli occhi. La Corte di Giustizia ha altresì chiarito che la firma autografa di una persona fisica rientra nella nozione di “dato personale”.

È importante distinguere tra dati personali “comuni” e categorie particolari di dati personali (precedentemente noti come “dati sensibili”). Queste ultime, definite all’articolo 9 del GDPR, includono informazioni che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, nonché dati genetici, dati biometrici (es. impronta digitale) e dati relativi alla salute o alla vita sessuale. Tali dati godono di una protezione rafforzata.

Caso Pratico: L’Indirizzo E-mail Aziendale è un Dato Personale?

La risposta dipende dalla capacità dell’indirizzo e-mail di rendere una persona fisica identificabile. Utilizziamo un esempio pratico:

• L’indirizzo e-mail generico

info@azienda.it o ufficio.commerciale@azienda.it

di norma non è un dato personale, in quanto si riferisce a una funzione aziendale o a un’entità nel suo complesso (la persona giuridica), e non a una persona fisica specifica.

• Al contrario, un indirizzo e-mail come

mario.rossi@azienda.it o m.rossi@azienda.it

è un dato personale. Anche se non contenesse il nome completo, permetterebbe di identificare, direttamente o indirettamente, una persona fisica specifica che lavora presso quell’azienda, rientrando pienamente nella definizione dell’articolo 4, n. 1) del GDPR.

Bibliografia e Riferimenti Normativi

• Parlamento Europeo e Consiglio dell’Unione Europea, Regolamento (UE) 2016/679 del 27 aprile 2016 (Regolamento Generale sulla Protezione dei Dati – GDPR). Articolo 1 ; Articolo 4; Articolo 99

• Corte di Giustizia dell’Unione Europea, Sentenza (Quarta Sezione) del 7 marzo 2024, Causa C-604/22, IAB Europe   .
• Corte di Giustizia dell’Unione Europea, Sentenza (Prima Sezione) del 4 ottobre 2024, Causa C-490/23, Agentsia po vpisvaniyata  .
• Garante per la protezione dei dati personali, Provvedimento del 17 settembre 2020.
• Garante per la protezione dei dati personali, Provvedimento dell’8 febbraio 2024.
• European Data Protection Board (EDPB), Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, 17 aprile 2023.
• European Data Protection Board (EDPB), Linee guida 06/2020 sull’interazione tra la seconda direttiva sui servizi di pagamento e il GDPR, 15 dicembre 2020