Il provvedimento n. 474/2025 del Garante Privacy: il dossier sanitario tra consenso, sicurezza e responsabilità del titolare
Con il provvedimento n. 474 del 4 agosto 2025 (doc. web n. 10166336), il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero-Universitaria Careggi di Firenze attraverso il proprio dossier sanitario, irrogando una sanzione amministrativa pecuniaria di euro 80.000. La decisione, pubblicata sul sito dell’Autorità, rappresenta un passaggio rilevante nella definizione dei confini applicativi del dossier sanitario elettronico e ribadisce la centralità del principio di responsabilizzazione del titolare del trattamento nel settore sanitario.
La decisione in commento
L’ispezione del Garante, condotta ai sensi del Regolamento n. 1/2019, ha riguardato due applicativi aziendali, destinati alla gestione delle cartelle ambulatoriali e di ricovero, che permettevano ricerche anche storiche sui pazienti. Tali strumenti, secondo l’Autorità, integravano di fatto un “dossier sanitario” ai sensi delle Linee guida del 4 giugno 2015, poiché consentivano la consultazione di dati relativi a prestazioni pregresse e diverse unità operative. È emerso che l’Azienda non acquisiva il consenso informato degli interessati per tale specifico trattamento, limitandosi a una registrazione orale, e che l’informativa pubblicata sul sito istituzionale risultava obsoleta. Inoltre, non era prevista la possibilità di oscurare singoli eventi clinici, né di esercitare il diritto di conoscere gli accessi effettuati al dossier. I profili di abilitazione consentivano accessi non pienamente conformi ai principi di minimizzazione e necessità, potendo i medici visualizzare dati riferiti a pazienti non in cura diretta presso la loro unità operativa. Il Garante ha pertanto accertato la violazione degli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento (UE) 2016/679 (GDPR), nonché dell’art. 75 del d.lgs. 196/2003 e delle citate Linee guida, dichiarando l’illiceità del trattamento
Quadro normativo di riferimento
Il Regolamento (UE) 2016/679 impone che il trattamento dei dati personali sia “lecito, corretto e trasparente” (art. 5, par. 1, lett. a)) e avvenga in modo da garantire “integrità e riservatezza” (lett. f)). In ambito sanitario, la liceità del trattamento è disciplinata dall’art. 9, par. 2, lett. h) e par. 3 del GDPR, che ammette il trattamento dei dati sulla salute quando necessario per finalità di cura da parte di professionisti soggetti al segreto professionale. Tuttavia, l’utilizzo del dossier sanitario costituisce trattamento ulteriore e facoltativo, richiedendo quindi un consenso esplicito (art. 9, par. 2, lett. a)). Le Linee guida del 2015, tuttora vigenti ai sensi dell’art. 22, comma 4 del d.lgs. 101/2018, specificano che il dossier sanitario può essere istituito solo previa informativa chiara e consenso espresso, prevedendo altresì diritti specifici per l’interessato: possibilità di oscurare singoli eventi, di revocare il consenso e di conoscere gli accessi al dossier. Il provvedimento in commento riafferma tali principi e richiama l’obbligo per i titolari di attuare la protezione dei dati fin dalla progettazione (art. 25 GDPR) e mediante misure tecniche e organizzative adeguate (art. 32 GDPR).
Questioni interpretative e riflessi operativi per le strutture sanitarie
La decisione solleva alcune questioni interpretative di rilievo. In primo luogo, il confine tra dossier sanitario e altri sistemi di archiviazione elettronica appare più sfumato: il Garante ribadisce che l’esistenza di un dossier non dipende dalla sua denominazione formale, bensì dalla possibilità di accedere a dati storici del paziente anche provenienti da diverse unità operative. Tale interpretazione estensiva amplia l’ambito dei trattamenti soggetti agli obblighi di consenso e informativa specifica.
In secondo luogo, viene riaffermato che il consenso al trattamento per finalità di cura non si estende automaticamente al dossier sanitario. L’art. 9 GDPR distingue chiaramente i due regimi, imponendo un consenso separato e documentabile. Infine, il provvedimento offre un’importante chiarificazione sul principio di privacy by design (art. 25 GDPR): la conformità deve essere incorporata sin dalla progettazione dei sistemi informativi, mediante limitazione dell’accesso, tracciamento, procedure di oscuramento e formazione del personale.
Le strutture sanitarie pubbliche e private dovranno pertanto aggiornare i propri modelli organizzativi, assicurando la piena attuazione delle Linee guida del 2015 e documentando in modo sistematico la valutazione d’impatto ex art. 35 GDPR.
Sanzione e criteri di quantificazione
Nel quantificare la sanzione, il Garante ha applicato i criteri di cui all’art. 83 GDPR, valorizzando la natura dei dati trattati (dati sanitari, quindi particolarmente sensibili), il numero degli interessati, la durata della violazione e la gravità complessiva della condotta. È stato altresì considerato che l’Azienda non aveva precedenti sanzioni e aveva cooperato attivamente, elementi che hanno consentito di contenere l’importo a euro 80.000,00. La pubblicazione del provvedimento sul sito istituzionale del Garante, ai sensi dell’art. 166, comma 7 del Codice, è stata disposta quale misura accessoria di trasparenza e deterrenza.
Conclusioni operative
Il provvedimento n. 474/2025 conferma l’attenzione del Garante verso i trattamenti di dati sanitari e la necessità di una gestione strutturata del dossier sanitario elettronico. Le strutture sanitarie devono assicurare informativa aggiornata, consenso specifico, procedure di oscuramento dei dati, differenziazione dei profili di accesso e tracciabilità completa. L’approccio richiesto è di tipo risk-based e deve essere documentato mediante valutazioni d’impatto, audit periodici e formazione continua. Come studio, ci occupiamo di assistere realtà del settore sanitario nella revisione delle politiche di compliance privacy e nella progettazione dei sistemi informativi in conformità al GDPR e alle Linee guida del Garante.
