Il Garante per la Protezione dei Dati Personali (GPDP) ha emesso il Provvedimento del 4 agosto 2025, dichiarando l’illiceità del trattamento dei dati personali effettuato dall’Azienda Ospedaliero-Universitaria Careggi (“l’Azienda”). Il caso solleva questioni cruciali sulla corretta gestione del Dossier Sanitario e sull’applicazione dei principi fondamentali del Regolamento (UE) 2016/679 (GDPR).

Il Dossier Sanitario: un Trattamento Facoltativo

Il Dossier Sanitario (DSE) è definito dal Garante come l’insieme dei dati personali generati da eventi clinici presenti e trascorsi che riguardano l’interessato. Le Linee guida in materia di Dossier sanitario del 2015 stabiliscono che il DSE costituisce un trattamento di dati specifico e ulteriore rispetto a quello di cura del singolo evento clinico.

Come tale, il trattamento dei dati tramite Dossier Sanitario è facoltativo e richiede sempre il consenso esplicito dell’interessato (ai sensi dell’art. 9, par. 2, lett. a) del Regolamento). Tale consenso garantisce che il paziente possa scegliere liberamente se le sue informazioni cliniche siano o meno trattate in tale strumento integrato.

Le Gravi Violazioni Accertate dal Garante

A seguito di un accertamento ispettivo, l’Ufficio del Garante ha rilevato che la configurazione del Dossier Sanitario da parte dell’Azienda Careggi è avvenuta in violazione dei principi di liceità, correttezza, trasparenza, integrità, riservatezza, minimizzazione dei dati e protezione fin dalla progettazione, come previsto dagli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento e dalle Linee guida del 2015.

Le principali criticità riscontrate includono:

1. Mancanza di Consenso Specifico e Informativa Adeguata Fino alla data degli accertamenti ispettivi, l’Azienda non forniva una specifica informativa e non acquisiva il consenso con riferimento ai trattamenti effettuati attraverso il dossier sanitario. Invece, veniva richiesto un solo consenso verbale al trattamento dei dati personali per fini di cura, basato su normative antecedenti alla piena applicazione del GDPR (artt. 75 e ss. del Codice prima della revisione del d.lgs n. 101/2018). Questa prassi ha violato gli artt. 5, par. 1, lett. a) e 9 del Regolamento.

2. Accessi Non Autorizzati e Profili Inadeguati Il sistema informativo utilizzato (“XX” e “XX”) consentiva accessi non conformi al principio di minimizzazione e al principio di “protezione dei dati fin dalla progettazione” (Art. 25 GDPR).

• Accesso Trasversale: Il personale medico, anche se abilitato per una specifica unità operativa (SOD), poteva effettuare una ricerca sullo storico del paziente e accedere a informazioni (come lettere al curante o relazioni di degenza) relative a ricoveri avvenuti in unità operative diverse da quelle a cui era abilitato.
• Mancanza di Differenziazione: L’Azienda non aveva previsto in modo completo l’attribuzione di profili di abilitazione e autorizzazione differenziati in base alle diverse mansioni svolte dal personale sanitario.

Il Garante sottolinea che l’accesso al dossier deve essere limitato solo al personale sanitario che interviene nel processo di cura del paziente.

3. Limitazioni all’Oscuramento dei Dati Il diritto di oscurare specifici eventi clinici consultabili tramite il dossier sanitario è una garanzia fondamentale a tutela della riservatezza dell’interessato. Tuttavia, all’epoca degli accertamenti, l’interessato poteva chiedere l’oscuramento solamente dell’intera cartella sanitaria, e non di un singolo documento. Di tale facoltà, peraltro, il paziente non era specificamente informato. Non erano previsti neanche oscuramenti automatici per i dati soggetti a maggior tutela.

4. Mancanza di Strumenti di Tracciabilità e Audit Non era stato adottato, come richiesto dalle Linee guida, un sistema per il rilevamento automatico di eventuali anomalie (c.d. alert) sugli accessi effettuati, utili per orientare successivi interventi di audit. Inoltre, sebbene l’Azienda tracciasse gli accessi, il paziente non era informato del diritto di chiedere e visionare i log degli accessi effettuati sul proprio dossier.

Le Misure Correttive e la Collaborazione

L’Azienda Ospedaliero-Universitaria Careggi ha collaborato con l’Autorità e ha prontamente avviato, in seguito all’ispezione, significative azioni correttive, che hanno portato alla cessazione degli effetti della condotta illecita. Tali azioni includono:

• Aggiornamento di Informative e Modulistica: Nuove informative conformi all’Art. 13 del Regolamento.
• Sistema di Consenso Informatizzato: Implementazione di una procedura che richiede un codice OTP (One-Time Password) al paziente per manifestare i tre consensi richiesti (attivazione dossier, acquisizione eventi pregressi, inserimento dati “maggior tutela”).
• Revisione dei Profili di Accesso: Limitazione degli accessi allo storico dei documenti sanitari solo al personale medico che ha in cura l’interessato.
• Politiche di Provisioning e Deprovisioning: Predisposizione di policy per la gestione degli accessi e la verifica della “profondità dell’accesso”.
• Formazione e DPIA: Predisposizione di corsi di formazione specifici sul dossier sanitario e della Valutazione di Impatto (DPIA) prevista dall’art. 35 del Regolamento.

L’Ordinanza Ingiunzione e la Sanzione

Nonostante le misure correttive adottate tempestivamente, l’illiceità del trattamento pregresso è stata confermata.

Il Garante ha ritenuto la violazione di livello di gravità alto, considerando in particolare:

1. La natura dei dati coinvolti, particolarmente sensibili.
2. Il numero elevato di soggetti interessati (XX pazienti).
3. La durata della violazione (dal 2011 al 2025).

Per le violazioni accertate (artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento e art. 75 del Codice), è stata disposta l’applicazione di una sanzione amministrativa pecuniaria.

L’Azienda Ospedaliero Universitaria Careggi è stata condannata al pagamento di una somma pari a euro 80.000,00 (ottantamila/00).

Il Garante ha inoltre disposto la pubblicazione dell’ordinanza ingiunzione sul proprio sito internet, data la gravità della condotta che coinvolge la protezione dei dati di un elevato numero di interessati e la specifica rilevanza delle Linee guida sul Dossier Sanitario emanate nel 2015.