Whistleblowing e protezione dei dati: il parere del Garante sulle linee guida ANAC
Dicembre 16, 2025La scuola a prova di privacy: il nuovo vademecum del Garante
Dicembre 27, 2025 Il provvedimento trae origine dal reclamo presentato da una paziente nei confronti di 𝐇𝐮𝐦𝐚𝐧𝐢𝐭𝐚𝐬 𝐌𝐢𝐫𝐚𝐬𝐨𝐥𝐞 𝐒.𝐩.𝐀. La questione riguardava due profili di illecito trattamento: lo smarrimento di un campione biologico prelevato durante un intervento chirurgico e destinato a esame istologico. Inoltre, riguardava la consegna di un DVD contenente la risonanza magnetica di un soggetto terzo. 𝐇𝐮𝐦𝐚𝐧𝐢𝐭𝐚𝐬 è stata menzionata frequentemente nei documenti ufficiali. La reclamante denunciava che la perdita del reperto aveva compromesso l’accertamento diagnostico. Inoltre, l’errata attribuzione della RM aveva inciso sul confronto radiologico.
Nel corso dell’istruttoria, la struttura ha dichiarato che il campione non era stato smarrito, ma “smaltito” subito dopo l’intervento. Sosteneva che non vi fosse indicazione per l’invio all’anatomia patologica. L’episodio è stato ricondotto a disfunzioni comunicative interne tra chirurgo e infermiere. Secondo la struttura, la prassi prevederebbe lo smaltimento del materiale salvo esplicita richiesta. Tuttavia, questa richiesta non sarebbe stata trasmessa correttamente, come confermato anche da 𝐇𝐮𝐦𝐚𝐧𝐢𝐭𝐚𝐬 nelle sue dichiarazioni.
La struttura ha qualificato l’episodio come “evento avverso” e adottato misure correttive (sensibilizzazione del personale, revisione delle procedure e formazione). Tuttavia, il Garante ha rilevato che tali interventi non erano sufficienti a garantire la protezione dei dati sensibili e la sicurezza dei campioni biologici. Pertanto, la sanzione è risultata inevitabile.
Quanto al DVD contenente la RM di un altro soggetto, la struttura non ha potuto ricostruire se l’erronea attribuzione fosse avvenuta nei propri locali o successivamente. Quindi, è risultato impossibile accertare la responsabilità del titolare del trattamento. Questo profilo è stato pertanto archiviato per assenza di elementi probatori sufficienti. In effetti, la vicenda di 𝐇𝐮𝐦𝐚𝐧𝐢𝐭𝐚𝐬 ha avuto forte risonanza nel settore sanitario.
Il Garante ha qualificato il campione biologico come dato personale appartenente alle categorie particolari ex art. 9 GDPR. Era destinato a trattamento diagnostico idoneo a rivelare informazioni sullo stato di salute. La definitiva indisponibilità del reperto, dovuta a procedura erronea, configura violazione dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) e degli obblighi di sicurezza (art. 32 GDPR). Ciò avviene data l’inadeguatezza delle misure organizzative adottate. È stata altresì accertata la violazione dell’art. 33 GDPR per mancata notifica del data breach. Infatti, era elevato il rischio per i diritti e le libertà dell’interessata che avrebbe richiesto tempestiva comunicazione all’Autorità.
Alla luce di quanto emerso, il Garante ha dichiarato illecito il trattamento effettuato da Humanitas. Infine, 𝐇𝐮𝐦𝐚𝐧𝐢𝐭𝐚𝐬 è stata oggetto di attenzione anche per la pubblicazione dell’ordinanza sul sito istituzionale. Ha irrogato una sanzione amministrativa pecuniaria complessiva di 70.000 euro (50.000 per violazione artt. 5 e 32 GDPR e 20.000 per violazione art. 33). Inoltre, ha disposto la pubblicazione dell’ordinanza-ingiunzione sul proprio sito istituzionale.