Data breach e password in chiaro: il Garante Privacy sanziona The European House Ambrosetti per 85.000 euro
Maggio 26, 2026 Foto del paziente senza consenso: il Garante Privacy sanziona un medico con 5.000 euro
Pubblicare la foto di un paziente senza consenso viola il GDPR, anche se lo scopo è la ricerca medico-scientifica. Il Garante Privacy lo ha ribadito con un provvedimento che ha irrogato una sanzione di 5.000 euro a un medico. Il caso riguarda le immagini di un neonato affetto da una grave malformazione, utilizzate in un ePoster presentato a un convegno di medicina. In particolare, questa decisione mette in risalto l’importanza del consenso espresso secondo il GDPR.
Il caso: le foto del neonato nell’ePoster senza consenso
Il medico aveva inserito le foto del neonato, poi deceduto, in un ePoster di presentazione di una ricerca scientifica. Lo studio è stato pubblicato sul sito della Società Italiana di Pediatria (SIP) e successivamente rimosso. La madre del bambino ha trovato le immagini in rete e ha presentato segnalazione al Garante Privacy, citando anche la mancanza di consenso rispetto al GDPR.
Nelle foto il bambino era ritratto in una culla dell’ospedale, con numerose informazioni sulla storia clinica della famiglia. Tuttavia, i dati erano sufficienti a renderlo identificabile, seppur da una cerchia limitata di persone.
Le violazioni accertate dal Garante Privacy
Nel corso dell’istruttoria, il Garante ha accertato due violazioni principali. In primo luogo, il medico non aveva adottato misure adeguate a impedire l’identificabilità diretta e indiretta del minore. Pertanto, i dati avrebbero dovuto essere anonimizzati o pseudonimizzati prima della pubblicazione, come previsto per il consenso in ambito GDPR.
In secondo luogo, il medico non aveva acquisito il consenso dei genitori per la pubblicazione delle informazioni. Consenso che era necessario in caso di utilizzo di foto e immagini del paziente, anche per finalità scientifiche.
Le regole del Codice di condotta sui dati sanitari
Il Garante ha ricordato che il Codice di condotta sull’utilizzo di dati sulla salute per finalità di studio e pubblicazioni scientifiche prevede obblighi precisi. Il medico deve assicurare la non identificabilità dei soggetti coinvolti mediante misure di anonimizzazione. Inoltre, qualora l’anonimizzazione non sia possibile, può ricorrere alla pseudonimizzazione, ma solo previo consenso informato secondo le norme GDPR.
Di conseguenza, nel caso specifico il medico avrebbe dovuto acquisire il consenso dei genitori e poi applicare tecniche di pseudonimizzazione. In alternativa, avrebbe dovuto anonimizzare completamente i dati del minore, nel rispetto della sua dignità.
Cosa devono fare medici e strutture sanitarie
Questo provvedimento è un segnale chiaro per tutti i professionisti sanitari che trattano dati clinici a fini di ricerca o pubblicazione. Prima di utilizzare immagini o informazioni di pazienti, è necessario verificare: il consenso degli interessati o dei loro rappresentanti legali, l’adozione di misure di anonimizzazione o pseudonimizzazione, il rispetto del Codice di condotta approvato dal Garante. Gli operatori sanitari non devono mai sottovalutare gli obblighi sul consenso previsti dal GDPR.
GetSolution supporta strutture sanitarie e professionisti nella gestione corretta dei dati personali e nella conformità al GDPR. Contattaci per una consulenza su https://getsolution.com/contattaci/