NEWSLETTER N. 539 del 25 settembre 2025

• Garante privacy: dossier sanitario accessibile solo per ragioni di cura
• Diritto di accesso, il Garante privacy sanziona una banca per 100mila euro
• PA e obblighi di trasparenza online, il Garante privacy chiede maggiori tutele
• Trasparenza siti, il Garante privacy sanziona un Comune
• Garanti privacy mondiali: la protezione dati si applica pienamente all’IA

 Garante privacy: dossier sanitario accessibile solo per ragioni di cura
Sanzionati un ospedale* e una clinica privata

*In pendenza del giudizio di opposizione contro il provvedimento [riguardante l'ospedale] non è applicata la sanzione accessoria della pubblicazione dell’ordinanza ingiunzione

Il Garante privacy sanziona* con 80mila euro un’Azienda Ospedaliero-Universitaria per non aver configurato correttamente il dossier sanitario. Il provvedimento nasce da un accertamento ispettivo dell’Autorità presso l’Ospedale, per verificare il rispetto della normativa privacy nei trattamenti effettuati mediante il dossier sanitario. [*In pendenza del giudizio di opposizione contro il provvedimento non è applicata la sanzione accessoria della pubblicazione dell’ordinanza ingiunzione]

Dagli accertamenti è emerso che l’Azienda utilizzava due applicativi relativi rispettivamente alla cartella ambulatoriale e a quella di ricovero, attraverso i quali, tutto il personale sanitario poteva effettuare ricerche sulla storia clinica dei pazienti anche nel caso in cui non fosse coinvolto nel loro percorso di cura. I sistemi utilizzati dall’Azienda Ospedaliero-Universitaria non prevedevano infatti l’utilizzo di adeguate misure di profilazione degli accessi né misure di sicurezza come l’utilizzo di alert o il tracciamento delle operazioni effettuate sugli applicativi, in appositi file di log. Inoltre, i pazienti non erano a conoscenza dell’esistenza dei trattamenti effettuati attraverso il dossier e dunque impossibilitati a prestare o negare il proprio consenso al proprio dossier o a decidere se oscurare alcune informazioni come quelle soggette a maggior tutela.

Nel comminare la sanzione, il Garante ha ribadito quanto già stabilito nelle Linee Guida del 2015. Ovvero che al paziente, dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo ha effettivamente in cura.

Infine, per violazioni analoghe il Garante ha sanzionato anche una casa di cura privata per 12mila euro.

Diritto di accesso, il Garante privacy sanziona una banca per 100mila euro  
Cliente può accedere ai propri dati contenuti nelle registrazioni degli ordini telefonici 

Il Garante privacy ha comminato una sanzione di 100mila euro a una banca per non aver risposto in modo esaustivo a un cliente che aveva fatto richiesta di accesso ai propri dati personali contenuti nelle conversazioni telefoniche.

Il cliente, vittima di una frode, si era rivolto alla banca per ottenere le registrazioni delle chiamate intercorse con il servizio clienti, utili per contestare l’esecuzione di un bonifico di circa 10mila euro e ricostruire quanto accaduto. Non avendo ricevuto una risposta soddisfacente, ha presentato un reclamo all’Autorità.

Solo dopo l’apertura del procedimento da parte del Garante, la banca ha fornito le registrazioni, ma ormai oltre il termine dei 30 giorni previsto dal Regolamento UE (art.15).

Nel suo provvedimento sanzionatorio, il Garante ha ricordato che anche le telefonate tra cliente e banca possono essere considerate dati personali e, in quanto tali, devono essere accessibili su richiesta, nel rispetto dei diritti di eventuali terzi coinvolti (Linee Guida Edpb 01/2022).  

Nel definire l’ammontare della sanzione, l’Autorità ha tenuto conto del fatturato della banca, della buona collaborazione dimostrata nel corso dell’istruttoria e dell’assenza di violazioni precedenti.

PA e obblighi di trasparenza online, il Garante privacy chiede maggiori tutele 

Il Garante privacy ha dato parere favorevole ad Anac su altri 6 schemi standard di pubblicazione che le Pubbliche amministrazioni devono seguire per rispettare gli obblighi di trasparenza online. Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013), tengono conto delle diverse osservazioni formulate dall’Ufficio, affinché la diffusione delle informazioni avvenga nel rispetto del diritto alla protezione dei dati personali degli interessati.

In conformità con la disciplina europea e nazionale in materia, ed evitando così possibili conseguenze sanzionatorie, le Pa dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati previsti dalla normativa vigente nel rispetto dei principi di necessità e proporzionalità. Ad esempio, non potrà essere indicato il grado di parentela dei familiari dei titolari di incarichi politici, di amministrazione, di direzione o di governo, che non abbiano prestato consenso alla pubblicazione dei propri dati reddituali e patrimoniali.

Il Garante ha inoltre chiarito come in relazione alle procedure di conferimento degli incarichi riguardanti la dirigenza sanitaria si applicano gli obblighi di trasparenza previsti per i concorsi pubblici (art. 19 del d. lgs. n. 33/2013) in cui non è prevista la pubblicità di curricula e nominativi di candidati non vincitori.

Nel parere, il Garante privacy ha suggerito di richiamare nello schema di pubblicazione dei dati personali riferiti a “titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali”, la possibilità di consultare le proprie Linee sul trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (doc. web n. 3134436 e successivi aggiornamenti) che contengono ulteriori indicazioni sulle cautele da adottare.

Il Garante ha infine invitato l’Autorità anticorruzione a valutare l’opportunità di un periodo transitorio che consenta alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione.

Trasparenza siti, il Garante privacy sanziona un Comune 
Pubblicati in chiaro i dati personali riguardanti oltre 1.400 richieste di accesso agli atti

Il Garante privacy ha inflitto una sanzione di 12mila euro a un Comune per aver pubblicato online, i dati personali di centinaia di cittadini, in modo illecito. Le informazioni erano contenute nei registri delle richieste di accesso civico e documentale, caricati nella sezione Amministrazione trasparente del sito istituzionale e rimasti consultabili almeno fino ad aprile 2024.

Nei documenti – relativi a 1.455 istanze presentate tra il 2017 e settembre 2023 – comparivano nomi e cognomi dei mittenti e dei destinatari, numeri di protocollo, oggetto e descrizione delle istanze. In alcuni casi erano riportati i nominativi di proprietari di immobili o di intestatari di pratiche edilizie; in uno addirittura si potevano dedurre informazioni sullo stato di salute di un cittadino.

Il Comune ha giustificato la pubblicazione parlando di una “interpretazione ampia del principio di trasparenza”. Una tesi respinta dall’Autorità, che nel corso dell’istruttoria ha affermato che per tutelare la riservatezza delle persone coinvolte il Comune avrebbe dovuto oscurare i dati personali.

La diffusione di tali informazioni, sottolinea il Garante nel provvedimento, è inoltre in contrasto con le Linee guida dell’Anac e con la circolare del Ministro per la Pubblica Amministrazione, che richiedono espressamente l’oscuramento dei dati personali presenti nel Registro degli accessi pubblicati online, inclusi i nomi dei richiedenti e delle persone fisiche citate nei documenti.

Nel definire l’ammontare della sanzione, il Garante ha tenuto in considerazione la pronta collaborazione del Comune e la rimozione dei dati dal sito istituzionale.

Garanti privacy mondiali: la protezione dati si applica pienamente all’IA
Alla 47° edizione della Global Privacy Assembly presente anche l’Autorità italiana

L’intelligenza artificiale e le sue implicazioni per la tutela dei diritti e la protezione dei dati personali sono stati al centro dei lavori della 47° edizione della Global Privacy Assembly (GPA), che si svolta dal 15 al 19 settembre a Seoul. I lavori, ospitati dalla Personal Information Protection Commission della Corea del Sud, si sono articolati in sessioni aperte al pubblico, dedicate ai temi più attuali del dibattito, sessioni a porte chiuse riservate alle Autorità di protezione dati per il confronto regolatorio e l’adozione delle risoluzioni, e in eventi paralleli che hanno approfondito questioni emergenti.

Alla GPA 2025, che riunisce oltre 140 Autorità e agenzie di protezione dati e privacy a livello mondiale, ha partecipato anche una delegazione del Garante italiano, composta dalla Vice Presidente Ginevra Cerrina Feroni, e dai componenti del Collegio, Agostino Ghiglia e Guido Scorza.

I lavori si sono conclusi con l’approvazione di tre risoluzioni. La prima, che ha avuto co-sponsor il Garante italiano, affronta i rischi legati all’uso dei dati personali per l’addestramento dei modelli di IA.

Il testo riafferma che le norme sulla protezione dati si applicano pienamente all’intelligenza artificiale e richiama cinque principi fondamentali: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza. Le Autorità si impegnano inoltre a sensibilizzare sviluppatori e decisori, a rafforzare il coordinamento nell’enforcement e a condividere esperienze sull’IA generativa. Le altre risoluzioni riguardano una supervisione umana delle decisioni automatizzate che sia reale, effettiva e non formale e l’urgenza di integrare la protezione dei dati nell’educazione digitale, dall’infanzia all’università, attraverso programmi di alfabetizzazione che combattano fenomeni come cyberbullismo, deepfake e furti d’identità.

Nel corso della plenaria Ginevra Cerrina Feroni ha affrontato il tema del “pay or consent”, un modello sempre più diffuso tra piattaforme e siti di informazione che solleva seri dubbi sulla libertà del consenso, soprattutto in assenza di alternative realistiche. La protezione dei dati non può diventare un lusso riservato a chi può pagare, né generare discriminazioni per chi non può permetterselo.

Intervenendo poi durante il panel sul targeted advertisement, la Vicepresidente ha ribadito come la pubblicità online sia lecita solo se trasparente, veritiera e rispettosa della libertà delle persone. In Italia, la base giuridica per il marketing, anche non personalizzato, resta il consenso esplicito, specifico e informato: nessuna casella preselezionata o accettazione implicita, ma una scelta libera e consapevole.

Mentre a proposito dell’utilizzo del legittimo interesse per la pubblicità personalizzata degli utenti, Agostino Ghiglia ha ricordato il provvedimento del 2021 nei confronti di TikTok, in cui il Garante evidenziava il rischio che tale pratica possa coinvolgere anche utenti minorenni, a causa delle difficoltà della piattaforma nel verificare con certezza l’età degli iscritti.

Nella sessione dedicata alle tutele per utenti e consumatori, Guido Scorza ha ribadito l’importanza di affrontare con realismo il tema dei trasferimenti internazionali di dati e la necessità di una vera cooperazione internazionale: non bastano regole uniformi, ma servono anche meccanismi concreti di enforcement che rendano effettivi i principi sanciti dalle norme.

L’Autorità italiana, nel side event dedicato all’open source, ha portato la propria esperienza sulla IA, con i casi Replica, ChatGPT e Deepseek, sottolineando la difficoltà di cooperazione con i fornitori e, in alcuni casi, la necessità di interventi tempestivi come il divieto di uso di tali sistemi sul territorio nazionale. È emersa inoltre la necessità di basi giuridiche chiare per l’uso dei dati nei Large language model (LLM), dal momento che né il consenso né l’interesse legittimo possono rappresentare soluzioni sempre valide.

Tra i side events della GPA 2025, anche quello organizzato dall’Autorità italiana e dall’Ambasciata d’Italia a Seoul, dal titolo “Privacy in the face of the challenges posed by artificial intelligence”.

Proprio su questo tema, il Privacy Tour del Garante italiano, iniziativa che mira a promuovere la cultura della privacy e dell’uso responsabile delle nuove tecnologie nei territori dove è più necessario favorire consapevolezza, dialogo e formazione, è risultato tra i finalisti nella categoria “Education”, dedicata ai progetti più significativi ideati e promossi dalle Autorità e agenzie per la protezione dei dati personali in tutto il mondo.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Screening per diabete e celiachia, precisazione del Garante privacy - 23 settembre 2025

• Nessun divieto generale all’utilizzo del riconoscimento facciale in aeroporto - 18 settembre 2025

• Il Podcast del Garante. Episodio 4 “La scuola a prova di privacy” - 15 settembre 2025

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it