Whistleblowing e protezione dei dati: il parere del Garante sulle linee guida ANAC
Dicembre 16, 2025La scuola a prova di privacy: il nuovo vademecum del Garante
Dicembre 27, 2025Il provvedimento trae origine dal reclamo presentato da una paziente nei confronti di ๐๐ฎ๐ฆ๐๐ง๐ข๐ญ๐๐ฌ ๐๐ข๐ซ๐๐ฌ๐จ๐ฅ๐ ๐.๐ฉ.๐. La questione riguardava due profili di illecito trattamento: lo smarrimento di un campione biologico prelevato durante un intervento chirurgico e destinato a esame istologico. Inoltre, riguardava la consegna di un DVD contenente la risonanza magnetica di un soggetto terzo. ๐๐ฎ๐ฆ๐๐ง๐ข๐ญ๐๐ฌ รจ stata menzionata frequentemente nei documenti ufficiali. La reclamante denunciava che la perdita del reperto aveva compromesso lโaccertamento diagnostico. Inoltre, lโerrata attribuzione della RM aveva inciso sul confronto radiologico.
Nel corso dellโistruttoria, la struttura ha dichiarato che il campione non era stato smarrito, ma โsmaltitoโ subito dopo lโintervento. Sosteneva che non vi fosse indicazione per lโinvio allโanatomia patologica. Lโepisodio รจ stato ricondotto a disfunzioni comunicative interne tra chirurgo e infermiere. Secondo la struttura, la prassi prevederebbe lo smaltimento del materiale salvo esplicita richiesta. Tuttavia, questa richiesta non sarebbe stata trasmessa correttamente, come confermato anche da ๐๐ฎ๐ฆ๐๐ง๐ข๐ญ๐๐ฌ nelle sue dichiarazioni.
La struttura ha qualificato lโepisodio come โevento avversoโ e adottato misure correttive (sensibilizzazione del personale, revisione delle procedure e formazione). Tuttavia, il Garante ha rilevato che tali interventi non erano sufficienti a garantire la protezione dei dati sensibili e la sicurezza dei campioni biologici. Pertanto, la sanzione รจ risultata inevitabile.
Quanto al DVD contenente la RM di un altro soggetto, la struttura non ha potuto ricostruire se lโerronea attribuzione fosse avvenuta nei propri locali o successivamente. Quindi, รจ risultato impossibile accertare la responsabilitร del titolare del trattamento. Questo profilo รจ stato pertanto archiviato per assenza di elementi probatori sufficienti. In effetti, la vicenda di ๐๐ฎ๐ฆ๐๐ง๐ข๐ญ๐๐ฌ ha avuto forte risonanza nel settore sanitario.
Il Garante ha qualificato il campione biologico come dato personale appartenente alle categorie particolari ex art. 9 GDPR. Era destinato a trattamento diagnostico idoneo a rivelare informazioni sullo stato di salute. La definitiva indisponibilitร del reperto, dovuta a procedura erronea, configura violazione dei principi di integritร e riservatezza (art. 5, par. 1, lett. f) e degli obblighi di sicurezza (art. 32 GDPR). Ciรฒ avviene data lโinadeguatezza delle misure organizzative adottate. ร stata altresรฌ accertata la violazione dellโart. 33 GDPR per mancata notifica del data breach. Infatti, era elevato il rischio per i diritti e le libertร dellโinteressata che avrebbe richiesto tempestiva comunicazione allโAutoritร .
Alla luce di quanto emerso, il Garante ha dichiarato illecito il trattamento effettuato da Humanitas. Infine, ๐๐ฎ๐ฆ๐๐ง๐ข๐ญ๐๐ฌ รจ stata oggetto di attenzione anche per la pubblicazione dellโordinanza sul sito istituzionale. Ha irrogato una sanzione amministrativa pecuniaria complessiva di 70.000 euro (50.000 per violazione artt. 5 e 32 GDPR e 20.000 per violazione art. 33). Inoltre, ha disposto la pubblicazione dellโordinanza-ingiunzione sul proprio sito istituzionale.

