Data breach: l’EDPB approva un nuovo modello europeo di notificazione
Giugno 22, 2026Foto dei minori sui social network: serve il consenso di entrambi i genitori
Giugno 24, 2026
Il Garante per la protezione dei dati personali ha inflitto a Emirates una sanzione da 180.000 euro per violazioni relative al trattamento dei dati sanitari dei passeggeri con disabilità o a mobilità ridotta (PMR). Questo provvedimento pone ancora una volta l’accento sull’importanza della corretta gestione dei dati sanitari dei passeggeri. Il caso evidenzia obblighi precisi che riguardano non solo le compagnie aeree, ma tutte le organizzazioni che trattano dati sanitari come categorie particolari di dati ai sensi del GDPR.
Cosa è successo: il modulo Medif e le violazioni riscontrate
Tutto nasce dal reclamo di una passeggera a mobilità ridotta. Emirates le richiedeva di compilare il modulo Medif (Medical information for fitness to travel), raccogliendo informazioni sullo stato di salute, sul medico curante e sugli eventuali accompagnatori. In questa situazione, è evidente che la compilazione dei dati sanitari dei passeggeri deve essere sempre giustificata e proporzionata. Eppure, la passeggera non rientrava tra le categorie obbligate a farlo.
Il Garante, sentito anche l’Ente nazionale per l’aviazione civile (Enac), ha ritenuto legittimo il trattamento dei dati sanitari in sé, purché necessario per garantire il trasporto sicuro. Tuttavia ha accertato due violazioni specifiche:
- Trasparenza insufficiente: l’informativa sul trattamento non era chiara né sul sito web né tramite il personale di assistenza. In particolare, non veniva indicato quali passeggeri fossero tenuti a compilare il Medif e quali sezioni fossero obbligatorie, con particolare riferimento ai dati sanitari dei passeggeri gestiti.
- Conservazione eccessiva: Emirates conservava i dati sanitari raccolti per 7 anni, ritenuti dall’Autorità sproporzionati rispetto alla finalità del trattamento, limitata all’organizzazione del singolo viaggio.
Gli obblighi imposti dal Garante ad Emirates
Il provvedimento non si limita alla sanzione economica. Il Garante ha imposto ad Emirates di:
- Aggiornare l’informativa privacy, specificando quali categorie di passeggeri debbano compilare il Medif e quali sezioni siano effettivamente obbligatorie.
- Definire tempi di conservazione dei dati sanitari proporzionati alle finalità del trattamento.
- Cancellare i dati conservati oltre il periodo ritenuto congruo.
Cosa devono imparare le organizzazioni da questo caso
Il caso Emirates è un promemoria chiaro: trattare dati sanitari dei passeggeri senza una base giuridica solida e senza rispettare i principi di trasparenza e limitazione della conservazione espone le organizzazioni a sanzioni significative. Pertanto, ogni organizzazione che raccoglie categorie particolari di dati dovrebbe verificare tre aspetti fondamentali:
- L’informativa è completa, chiara e accessibile agli interessati in ogni punto di raccolta dati?
- I tempi di conservazione sono definiti e proporzionati alle finalità dichiarate?
- I formulari e i moduli utilizzati raccolgono solo i dati strettamente necessari (principio di minimizzazione)?
Di conseguenza, una revisione periodica delle informative privacy e delle politiche di data retention non è solo una buona pratica: è un obbligo che può fare la differenza tra conformità e sanzione, soprattutto se si tratta di dati sanitari dei passeggeri.
Un supporto concreto per la compliance
GetSolution supporta le organizzazioni nella gestione della conformità al GDPR. Per un’analisi della tua situazione o per ricevere supporto specialistico, contattaci: il nostro team è a tua disposizione.