Privacy In Pillole

Dati Sanitari e Privacy: la Gestione in Sicurezza delle Informazioni Sensibili

By 08/01/2026No Comments

Dati sanitari e privacy: la gestione sicura delle informazioni sensibili

  1. Definizione e Qualificazione Giuridica dei Dati Sanitari

I dati relativi alla salute sono definiti dall’articolo 4, paragrafo 1, numero 15, del Regolamento (UE) 2016/679 (GDPR) come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Questa nozione ampia include non solo informazioni tradizionali come diagnosi, referti e terapie, ma anche qualsiasi dato (come un numero identificativo univoco) dal quale si possano desumere informazioni sullo stato di salute di un individuo.

Tali dati sono classificati come “categorie particolari di dati personali” ai sensi dell’articolo 9 del GDPR. Il loro trattamento è, in linea di principio, vietato, data la loro natura estremamente sensibile e i rischi significativi che un loro trattamento improprio potrebbe comportare per i diritti e le libertà fondamentali delle persone fisiche, come evidenziato dal Considerando 51 del Regolamento.

  1. Quadro Normativo di Riferimento
  2. Dati Sanitari: Aspetti Critici nella Protezione

La gestione dei dati sanitari è disciplinata da un complesso quadro normativo che integra fonti europee e nazionali:

  1. Regolamento (UE) 2016/679 (GDPR): È la fonte normativa principale. L’articolo 9 stabilisce il divieto generale di trattamento delle categorie particolari di dati e le relative eccezioni. L’articolo 32 impone l’adozione di misure di sicurezza adeguate al rischio, mentre l’articolo 25 sancisce i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design & by Default).
  2. Codice in materia di protezione dei dati personali (D.Lgs. 196/2003): Come novellato dal D.Lgs. 101/2018, il Codice integra e specifica le disposizioni del GDPR nell’ordinamento italiano, con norme specifiche per il settore sanitario (es. artt. 75 e ss.).
  3. Provvedimenti del Garante per la protezione dei dati personali: L’Autorità ha emanato numerosi provvedimenti e linee guida per fornire indicazioni operative agli operatori del settore. Tra questi, i “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019 e le “Prescrizioni relative al trattamento di categorie particolari di dati” del 5 giugno 2019 sono di fondamentale importanza.
  1. Principi e Basi Giuridiche per il Trattamento Lecito

Il divieto di trattamento dei dati sanitari di cui all’art. 9, par. 1, del GDPR può essere superato solo in presenza di una delle condizioni di liceità elencate al paragrafo 2 dello stesso articolo. Per l’ambito sanitario, le basi giuridiche più rilevanti sono:

  • Finalità di cura (Art. 9, par. 2, lett. h): Il trattamento è necessario per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”. Tale trattamento deve avvenire sulla base del diritto dell’Unione o degli Stati membri o di un contratto con un professionista della sanità e deve essere effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale.
  • Consenso esplicito dell’interessato (Art. 9, par. 2, lett. a): Per finalità diverse dalla cura (es. utilizzo di app per il monitoraggio dello stile di vita, trattamenti per finalità commerciali o promozionali), è necessario acquisire il consenso esplicito, libero, specifico e informato dell’interessato.
  • Motivi di interesse pubblico nel settore della sanità pubblica (Art. 9, par. 2, lett. i): Questa base giuridica è utilizzata, ad esempio, per il monitoraggio delle epidemie o per altre minacce sanitarie transfrontaliere, e deve essere prevista da una norma di legge.

Indipendentemente dalla base giuridica, ogni trattamento deve rispettare i principi fondamentali dell’articolo 5 del GDPR: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

  1. Misure di Sicurezza Tecniche e Organizzative

L’articolo 32 del GDPR impone al titolare e al responsabile del trattamento di mettere in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Data l’elevata sensibilità dei dati sanitari, sono richiesti i più elevati standard di sicurezza.

Area di Intervento Misure Pratiche Consigliate Riferimenti Normativi e Orientamenti
Governance e Ruoli Nomina di un Responsabile della Protezione dei Dati (DPO), adozione di policy interne, definizione chiara di ruoli e responsabilità per il personale autorizzato al trattamento. Art. 37-39 GDPR; Art. 24 GDPR (Responsabilizzazione).
Controllo degli Accessi Applicazione rigorosa dei principi di least privilege (minimo privilegio) e need-to-know (necessità di sapere). Gli accessi devono essere differenziati in base ai ruoli (es. personale sanitario vs. personale amministrativo) e revocati tempestivamente al termine dell’incarico. Art. 32, par. 1, lett. b) GDPR [48]; Linee guida EDPB 4/2019 [46][42].
Cifratura e Pseudonimizzazione Cifratura dei dati sia a riposo (su server, database, backup) sia in transito (durante la trasmissione su reti). La pseudonimizzazione deve essere utilizzata per ridurre i rischi, ad esempio in contesti di ricerca o analisi. Art. 32, par. 1, lett. a) GDPR; Linee guida EDPB 4/2019.
Registrazione e Monitoraggio (Log) Implementazione di sistemi di audit trail che registrino chi ha effettuato l’accesso, quando e quali operazioni ha compiuto. I log devono essere protetti da alterazioni e analizzati regolarmente per rilevare accessi anomali o sospetti. Art. 32, par. 1, lett. b) e d) GDPR [48]; Provvedimento Garante 24/01/2024.
Valutazione d’Impatto (DPIA) Obbligatoria per i trattamenti su larga scala di dati sanitari o che utilizzano nuove tecnologie (es. sistemi basati su IA, Fascicolo Sanitario Elettronico), in quanto presentano un rischio elevato per i diritti e le libertà degli interessati. Art. 35 GDPR; Tribunale di Udine, Sentenza n.811 del 20/11/2023.
Conservazione e Cancellazione Definizione di policy di data retention che stabiliscano tempi di conservazione certi e proporzionati alle finalità di cura o legali. Al termine del periodo, i dati devono essere cancellati o anonimizzati in modo sicuro. Art. 5, par. 1, lett. e) GDPR (Limitazione della conservazione).
Gestione delle Violazioni (Data Breach) Adozione di procedure per rilevare, valutare e gestire le violazioni. Obbligo di notifica al Garante entro 72 ore se la violazione presenta un rischio, e di comunicazione agli interessati se il rischio è elevato. Art. 33-34 GDPR; Provvedimento Garante 04/07/2024.
Formazione del Personale Formazione continua e specifica per tutto il personale (sanitario e non) autorizzato a trattare dati sanitari, con focus sui rischi, sulle procedure interne e sugli obblighi di riservatezza. Art. 32, par. 4 GDPR; Tribunale Ordinario Roma, sentenze n. 24346/2019 e 24202/2019.
  1. Rischi e Responsabilità in caso di Violazione

La gestione inadeguata dei dati sanitari espone il titolare a gravi conseguenze.

  • Sanzioni Amministrative: Il Garante può irrogare sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, a seconda della gravità della violazione (art. 83 GDPR).
  • Diritto al Risarcimento del Danno (Art. 82 GDPR): Chiunque subisca un danno, materiale o immateriale, a causa di una violazione del GDPR ha diritto a ottenere un risarcimento. La giurisprudenza ha chiarito che:
    • La responsabilità del titolare è presunta: è suo onere dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
    • Il danno non è in re ipsa (automatico): la mera violazione della norma non è sufficiente. L’interessato deve provare di aver subito un danno effettivo e il nesso causale con la violazione.
    • Anche una “perdita del controllo” sui propri dati può costituire un danno immateriale risarcibile, purché l’interessato dimostri di aver subito un pregiudizio effettivo, “per quanto minimo”.

Conclusioni

La protezione dei dati sanitari è un obbligo giuridico non derogabile e un imperativo etico. Non è sufficiente affidarsi a misure di sicurezza generiche; è necessario un approccio olistico e proattivo, basato sui principi di Privacy by Design e by Default Cit. 41. Le organizzazioni sanitarie devono integrare la protezione dei dati in ogni processo, adottando misure tecniche e organizzative rigorose, garantendo una formazione costante del personale e mantenendo un alto livello di vigilanza. Solo così è possibile tutelare la riservatezza degli individui, mantenere la loro fiducia e mitigare i severi rischi legali, finanziari e reputazionali associati a una gestione non conforme.

Share