Provvedimento del 9 ottobre 2025 [10184697]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI ANCHE NEWSLETTER DEL 27 NOVEMBRE 2025

[doc. web n. 10184697]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 587 del 9 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX la XX ha formulato un reclamo lamentando lo smarrimento da parte della società Humanitas Mirasole s.p.a. (di seguito “società”) di un campione di tessuto asportatole durante un intervento chirurgico e di un DVD contenente la risonanza magnetica (RM) effettuata dalla reclamante in data XX.

In particolare, secondo quanto comunicato nel predetto reclamo, dopo essere stata asportata, il XX, alla XX una massa all’interno del XX, “è stato prelevato un campione di tessuto per eseguire l’analisi istologica presso il laboratorio di anatomia patologica”; successivamente, in data XX la stessa è stata informata del fatto che “il campione di tessuto asportato durante l’intervento chirurgico era stato PERDUTO; tutte le ricerche effettuate presso la sala operatoria ed il laboratorio di anatomia patologica non avevano dato alcun esito; non era possibile stabilire, in assenza del campione istologico, se il mucocele rimosso fosse di origine benigna o maligna”.

Inoltre, nel medesimo reclamo, è stato rappresentato che “il sanitario le ha chiesto di poter esaminare il filmato della vecchia RM; ha aperto il pieghevole della XX di Biella, ha estratto il dischetto dalla custodia ed ha informato la XX che: il dischetto contenuto all’interno del pieghevole XX NON era il suo; il dischetto risultava appartenere a tal XX, nato il (…), ID paziente (…); la RM in questione risultava essere stata effettuata presso la Casa di Cura privata di XX; non era, pertanto, possibile effettuare alcun raffronto tra la RM pre operatoria e la RM post operatoria ai fini di una corretta diagnosi; ha contattato tempestivamente la Casa di Cura Privata di XX” la quale ha dichiarato di non essere “in possesso del DVD di proprietà dell’odierna reclamante, che, pertanto, risultava smarrito”.

A seguito del reclamo, l’Autorità ha chiesto alla Società elementi utili alla valutazione del caso in esame, con nota del XX, alla quale è stato fornito riscontro in data XX.

In particolare, la Società ha dichiarato che:

- “la Direzione Sanitaria e il Risk Manager del nostro Ospedale ci hanno confermato che il campione in esame non è stato, invero, “smarrito”, bensì è stato smaltito subito dopo il suo prelievo e, per l’effetto, non è mai stato preso in carico da parte dal nostro laboratorio di anatomia patologica”;

- “la circostanza - che evidentemente non giustifica l’incidente occorso - assume, tuttavia (…), un apprezzabile significato sotto i profili dell’analisi delle cause che hanno determinato l’evento (obiettivamente estranee, nel caso di specie, a potenziali deficit delle misure di sicurezza adottate dalla nostra Struttura per la corretta gestione e conservazione dei campioni di tessuto), e delle conseguenti azioni di remediation poste in essere dal nostro Ospedale”;

- “l’attività di indagine, prontamente svolta dal Risk Manager di Humanitas Mirasole S.p.A. a seguito dell’incidente occorso, ha infatti evidenziato che l’evento (erroneo smaltimento del campione di tessuto) si è verificato esclusivamente a causa di una non corretta comunicazione intercorsa tra il chirurgo e l’infermiere di sala, e conseguente mancata intesa circa la necessità di procedersi all’invio del campione presso il laboratorio di anatomia patologica, e ciò nonostante la procedura di annotazione fosse stata regolarmente espletata (all’interno del referto operatorio risulta regolarmente segnalato l’invio del materiale in anatomia patologica)”;

- “la tipologia di intervento a cui è stata sottoposta la XX raramente prevede l’invio di campioni presso il laboratorio di anatomia patologica, con la conseguenza che il materiale raccolto viene abitualmente smaltito. Anche questo aspetto, con ogni probabilità, ha contribuito al verificarsi dell’errore”;

- “preso atto dell’incidente, che, come da buone pratiche di settore è stato immediatamente qualificato come “evento avverso”, l’episodio, in conformità alle vigenti “Disposizioni di legge in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie”, è stato preso in carico con metodologia audit, per le finalità previste di cui alla L. 8 marzo 2017, n. 24. L’Ospedale ha, quindi, come prassi, posto in essere tutte le attività-contromisure ritenute più opportune per contenere i possibili effetti negativi connessi al verificarsi del considerato evento avverso”;

- “è stato (…) elaborato uno specifico addendum alla lettera di dimissione consegnata alla paziente, con il quale la XX è stata dapprima informata circa la mancata processazione in sala operatoria del tessuto prelevato, e quindi invitata a seguire specifiche indicazioni di follow up. Il medesimo addendum è stato altresì allegato alla cartella clinica, successivamente consegnata alla paziente”;

- “al fine di sincerarsi circa l’effettiva presa di coscienza da parte della paziente di quanto accaduto, e dell’opportunità di intraprendere il percorso di follow up, i medici del nostro Ospedale hanno inoltre preso contatti diretti con la XX. I medici si sono ovviamente scusati per l’incidente occorso e hanno spiegato alla paziente l’importanza e le modalità attraverso le quali (i) attivare un percorso di follow-up radiologico con RM massiccio facciale, da eseguirsi a distanza di sei mesi dall’intervento chirurgico, (ii) seguito da specifica visita otorinolaringoiatrica, allo scopo di confermare la natura della lesione riscontrata durante l’intervento”;

- “la paziente ha già provveduto, in aderenza al percorso di follow up indicatole, a sottoporsi a RM massiccio facciale presso il nostro Ospedale. L’Ospedale ha, infine, provveduto a sensibilizzare il personale coinvolto nell’incidente in merito all’importanza connessa al rispetto delle procedure cliniche, anche con specifico riferimento alle modalità e tecniche di buona comunicazione all’interno dell’equipe medica”;

- “l’evento avverso in esame è stato inoltre qualificato come violazione di dati personali ai sensi dell’art. 4, punto 12), Regolamento UE 2016/679, in quanto gli accadimenti occorsi hanno potenzialmente generato una perdita di disponibilità delle informazioni (connesse, nel caso di specie, all’erroneo smaltimento del campione prelevato). Considerate, da un lato l’assenza di pregiudizio alla confidenzialità dei dati, dall’altro l’efficacia delle azioni-contromisure prontamente poste in essere al fine di ridurre l’impatto connesso alla perdita di disponibilità delle informazioni, la valutazione circa la gravità della violazione rispetto ai diritti e alle libertà dell’interessata è stata qualificata come “bassa” e, per tale ragione, il Titolare ha ritenuto che la violazione non dovesse essere notificata all’Autorità ai sensi dell’art. 33, Regolamento UE 2016/679 e delle relative Linee Guida dell’EDPB. Nell’ambito della considerata valutazione si è ritenuto, tra l’altro, che seppur la perdita di disponibilità del campione prelevato e la conseguente impossibilità di analisi dello stesso, fossero fatti di per loro rilevanti per la paziente, le contromisure adottate e, in particolare, la pronta attivazione di un percorso di follow-up radiologico e visita specialistica volta ad accertare la natura della lesione riscontrata durante l’intervento, rendessero di fatto improbabile che dagli eventi occorsi potesse effettivamente derivare un rischio per i diritti e le libertà della paziente”;

- in relazione, poi, al “tema del presunto smarrimento del supporto ottico contenente le risultanze della risonanza magnetica (RM) effettuata dalla XX in data XX, teniamo, anzitutto, a precisare che i dettagli di tale evento sono stati portati a conoscenza del nostro Ospedale solo il XX u.s., in occasione della richiesta di informazioni inoltrataci da codesta Autorità. Abbiamo, pertanto, cercato di ricostruire quanto potrebbe essere accaduto, al netto delle difficoltà incontrate in considerazione del tempo trascorso e in ragione del fatto che alcuni dei professionisti sanitari coinvolti nella vicenda in esame non lavorano più per il nostro Ospedale”;

- “durante la visita ambulatoriale precedente all’intervento chirurgico, effettuata in data XX, il nostro Ospedale ha ricevuto, per mano della XX, un supporto ottico contenente le risultanze della risonanza magnetica che la stessa XX aveva effettuato presso un’altra Struttura sanitaria (specificamente, la XX, di Biella). Il DVD risulta essere stato consultato dal nostro medico incaricato della visita pre-intervento. Terminata la visita il medico, come da prassi, ha restituito alla paziente la documentazione che la stessa aveva portato all’attenzione del nostro Ospedale (nel caso di specie un DVD), congiuntamente alla documentazione relativa alla visita appena conclusasi”;

- “tornata presso il nostro Ospedale, in data XX, in occasione della visita di follow-up post-intervento, la paziente ha nuovamente consegnato, ad altro medico, la documentazione in suo possesso, comprensiva di ciò che sarebbe dovuto essere il considerato supporto ottico inerente alla RM svolta pre-intervento presso la XX, di Biella. In questa occasione, tuttavia, il medico incaricato del follow-up post-operatorio si è accorto che il DVD posto alla sua attenzione non si riferiva alla XX, bensì ad altro paziente, tale XX, i cui esami, peraltro, erano stati svolti presso una differente Struttura sanitaria (specificamente, la Casa di Cura Privata di XX). Ipotizzare cosa sia successo tra la prima e la seconda visita non è semplice. Certamente è possibile che il DVD del XX sia stato erroneamente allegato alla documentazione della XX al termine della prima visita pre-operatoria svoltasi presso il nostro Ospedale; non di meno, non possiamo escludere con certezza, che altro accadimento incidentale si sia verificato, dopo la considerata visita, allorquando la documentazione era nelle mani della paziente. Riteniamo, in ogni caso, che, quando l’incidente è stato riscontrato ad opera del secondo medico, in occasione della visita post-operatoria del XX, egli non avendo considerato la possibilità che il DVD errato consegnatogli dalla paziente potesse, ab origine, essere stato erroneamente restituito alla stessa al termine della prima visita, svoltasi presso il nostro Ospedale, non ha ritenuto opportuno segnalare il caso alla nostra Struttura, limitandosi ad annotare nel referto della RM post-operatoria che non erano disponibili precedenti esami per il confronto. Non essendo stato, quindi, possibile ritrovare presso i nostri ambulatori il DVD della XX, anche in ragione del tempo trascorso (circa un anno), la posizione ufficialmente assunta dalla nostra Struttura non può che essere quella di considerare il DVD come smarrito”;

- “Humanitas Mirasole S.p.A., in qualità di Titolare del trattamento, consegna a tutto il personale operante presso le proprie Strutture, in sede di assunzione dell’incarico, lettera di autorizzazione al trattamento dei dati personali, resa in conformità all’art. 29, Regolamento UE 2016/679 (…). Contestualmente alla formalizzazione dell’autorizzazione al trattamento dati, il Titolare impartisce, per iscritto, ai soggetti autorizzati, specifiche istruzioni in ordine alle corrette modalità attraverso le quali dar corso alle operazioni di trattamento (…), congiuntamente al Regolamento adottato dall’Ospedale per governare l’utilizzo consentito delle risorse informatiche e di rete”;

- “tutto il personale operante presso l’Ospedale è (..) soggetto ad un obbligo di formazione permanente in ordine alle tematiche connesse alla protezione dei dati. In particolare, è previsto l’obbligo di frequenza di un apposito corso di formazione (in modalità fad) sul trattamento e la protezione dei dati personali in ambito sanitario (…) e si organizzano ciclicamente momenti di approfondimento su specifiche tematiche, attraverso attività seminariali affidate anche a professionisti esterni e professori universitari”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la Società abbia effettuato un trattamento di dati relativi alla salute in violazione dell’art. 5, par. 1, lett. f) del Regolamento e degli obblighi di sicurezza di cui all’art. 32 del medesimo Regolamento, nonché dell’art. 9 del Regolamento, a seguito della comunicazione di dati personali del XX a terzi in assenza di un idoneo presupposto giuridico e dell’art. 33 del Regolamento, omettendo di notificare la violazione dei dati personali all’Autorità di controllo.

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, oltre a quanto già rappresentato con nota del XX, ha evidenziato che:

sull’erroneo smaltimento del campione di tessuto prelevato alla XX e sulle misure tecniche ed organizzative adottate dal titolare del trattamento al fine di garantire un’adeguata protezione dei dati:

“il campione di tessuto alla stessa prelevato, in occasione dell’intervento operatorio svoltosi presso la struttura ospedaliera di Humanitas Mirasole, non è stato invero “perduto”, bensì erroneamente smaltito subito dopo il prelievo e, per l’effetto, non è mai stato preso in carico da parte dal nostro laboratorio di anatomia patologica”;

“l’attività di indagine, prontamente svolta dal Risk Manager di Humanitas Mirasole S.p.A. a seguito dell’incidente occorso, ha, anzitutto, evidenziato che l’evento (erroneo smaltimento del campione di tessuto) si è verificato esclusivamente a causa di una non corretta comunicazione intercorsa tra il chirurgo e l’infermiere di sala, e conseguente mancata intesa circa la necessità di procedersi all’invio del campione presso il laboratorio di anatomia patologica”;

“senza alcuna finalità di giustificazione dell’innegabile “incidente” avvenuto in sala operatoria, è evidente che l’accadimento in esame sia stato determinato da un “errore umano”, non riferibile ad eventuali deficit delle misure di sicurezza in senso stretto (regolarmente adottate dal nostro Ospedale) individuate dalle migliori pratiche di settore, nonché, nell’ambito della normativa in materia di protezione dei dati, dal Provvedimento del Garante n. 146 del 5 giugno 2019, recante le “prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, le quali sono più specificamente applicabili ai processi di trasporto e conservazione dei campioni biologici (come detto, il campione non è mai stato preso in carico, né trasportato presso il nostro laboratorio di anatomia patologica)”;

“anche le attività e i processi di interazione tra il personale operante in sala operatoria devono essere adeguatamente sottoposti ad idonee misure organizzative e, a tale riguardo, si rappresenta come l’Ospedale, con particolare riferimento alla gestione dei campioni biologici, adotti la procedura “XX” del XX, che descrive come avviene il processo di prelievo e preparazione dei campioni intraoperatorio. La procedura si applica in tutte le aree dell’ospedale in cui vengono eseguiti prelievi isto-citologici (blocchi operatori, sale interventistiche, aree ambulatoriali e degenze). Inoltre, presso Humanitas Mirasole, è operante un’ulteriore e specifica procedura relativa alla gestione del rischio clinico, “XX” del XX”;

“l’accidentale smaltimento del campione di tessuto della XX, avvenuto in sala operatoria, immediatamente dopo il prelievo dello stesso, ha evidentemente determinato un pregiudizio alla disponibilità dei dati, in assenza dei quali non è stato possibile procedere all’esame istologico inizialmente programmato”;

“l’evento de quo, diversamente, non ha comportato alcun pregiudizio alla confidenzialità/riservatezza delle informazioni, risultando pacifico che, proprio in forza dello smaltimento del campione, e delle tempistiche entro le quali tale azione è stata posta in essere, nessun soggetto terzo non autorizzato ha potuto (né potrà) accedere illecitamente ai dati personali particolari di pertinenza della XX”;

“l’impatto che tale violazione ha avuto sui diritti dell’interessato è, quindi, essenzialmente riconducibile ad un potenziale pregiudizio arrecato alla XX relativamente alla gestione del suo percorso di cura”;

“per tale ragione le azioni di remediation poste in essere dal titolare del trattamento, al fine di attenuare gli effetti della violazione, sono state doverosamente indirizzate allo scopo di ridurre al minimo tale pregiudizio nelle cure”;

“per quanto possa occorrere, si rileva che la XX ha già provveduto, in aderenza al percorso di follow up indicatole, a sottoporsi a RM massiccio facciale presso il nostro Ospedale”;

“l’evento avverso in esame è stato, infine, qualificato e registrato come violazione di dati personali, ai sensi dell’art. 4, punto 12), Regolamento UE 2016/679”;

“considerate, da un lato la totale assenza di pregiudizio alla confidenzialità dei dati (nessun soggetto terzo ha potuto accedere ai dati personali, resisi indisponibili, dell’interessato), dall’altro l’efficacia delle azioni-contromisure correttive prontamente poste in essere al fine di ridurre l’impatto connesso alla perdita di disponibilità delle informazioni, il titolare del trattamento è giunto alla conclusione di poter valutare come “bassa” la gravità della violazione dei dati e “improbabile” il rischio per i diritti e le libertà dell’interessato”;

sul presunto smarrimento del supporto ottico (DVD) contenente le risultanze di un esame di diagnostica per immagini svolto dalla XX (…) e sull’asserita illecita comunicazione dei dati di pertinenza del XX (…):

il “DVD di pertinenza della XX” (…) potrebbe essere stato colposamente smarrito ad opera del nostro Ospedale in occasione della prima visita svoltasi nel XX, ovvero potrebbe essere andato perso durante il non breve arco di tempo intercorso tra la prima e la seconda visita (oltre tre mesi), nel corso del quale tale supporto ottico non era più nella disponibilità della nostra struttura”;

“non essendo stato possibile rinvenire il DVD della XX, nemmeno a seguito delle ricerche per scrupolo svolte presso i nostri ambulatori, l’Ospedale ha formalmente qualificato il supporto ottico come “smarrito”, in quanto, di fatto, tale supporto risulta, allo stato, irreperibile. Tale asserzione, tuttavia, non implica alcuna ulteriore considerazione in ordine alle circostanze, o alle cause (non note), dello smarrimento; di certo non asserisce implicitamente che il DVD della XX sia stato smarrito per cause imputabili al nostro Ospedale”;

“in relazione alle due violazioni dei dati in esame (ossia, la messa a disposizione a favore della XX del DVD del XX e lo smarrimento del DVD di pertinenza della XX) anche supporre – in assenza di elementi comprovanti un nesso causale diretto – una responsabilità da parte del nostro Ospedale sotto il profilo dell’accountability e dei generali obblighi di corretta custodia, gestione, e consegna, della documentazione sanitaria, attraverso l’implementazione di adeguate misure tecniche ed organizzative, appare, a nostro avviso, obiettivamente eccessivo, atteso che la documentazione sanitaria in oggetto (DVD della XX e DVD del XX) non è nemmeno di pertinenza del nostro Ospedale (come già rilevato, il DVD della XX è relativo ad esami di diagnostica svolti presso la XX, di Biella, e il DVD del XX veicola le risultanze di un esame di diagnostica per immagini svolto presso la Casa di Cura Privata di XX)”;

“tutto il personale operante presso l’Ospedale è (…) soggetto ad un obbligo di formazione permanente in ordine alle tematiche connesse alla protezione dei dati. In particolare, è previsto l’obbligo di frequenza di un apposito corso di formazione (in modalità fad) sul trattamento e la protezione dei dati personali in ambito sanitario e si organizzano ciclicamente momenti di approfondimento su specifiche tematiche, attraverso attività seminariali affidate anche a professionisti esterni e professori universitari”;

sull’omissione della notifica della violazione dei dati:

“l’ultima violazione contestata allo scrivente Ospedale attiene alla mancata notifica della violazione dei dati e al conseguente inadempimento dell’onere posto a carico del titolare del trattamento, ai sensi dell’art. 33, Regolamento UE 2016/679”;

“relativamente alla violazione dei dati connessa all’erroneo smaltimento del campione di tessuto prelevato alla XX, abbiamo già avuto modo di rilevare come - considerate, da un lato la totale assenza di pregiudizio alla confidenzialità dei dati (nessun soggetto terzo ha potuto accedere ai dati personali, resisi indisponibili, dell’interessato), dall’altro l’efficacia delle azioni-contromisure correttive prontamente poste in essere al fine di ridurre l’impatto connesso alla perdita di disponibilità delle informazioni – il titolare del trattamento sia giunto alla conclusione di poter valutare come “bassa” la gravità della violazione e “improbabile” il rischio per i diritti e le libertà dell’interessato. Nell’ambito della considerata valutazione si è ritenuto (…) che seppur la perdita di disponibilità del campione prelevato e la conseguente impossibilità di analisi dello stesso, fossero fatti di per loro rilevanti per la paziente, atteso che l’impatto della violazione si riverbera essenzialmente sul percorso di cura della paziente, le contromisure adottate e, in particolare, la pronta attivazione di un percorso di follow-up radiologico e visita specialistica volta ad accertare la natura della lesione riscontrata durante l’intervento, rendessero di fatto improbabile che dagli eventi occorsi potesse effettivamente derivare un rischio per i diritti e le libertà della paziente”;

“le Linee Guida dell’EDPB (cfr. “Fattori da considerare nella valutazione del rischio”) precisano (…) che (…) nel caso di una violazione effettiva, l’evento si è già verificato e, pertanto, l’attenzione deve concentrarsi esclusivamente sul rischio effettivo risultante dall’impatto di tale violazione sulle persone fisiche”;

“la violazione dei dati in esame impatta, pressoché esclusivamente, sul percorso di cura della XX, in relazione al quale le contromisure prontamente adottate (attivazione di un percorso di follow-up radiologico e visita specialistica) scongiurano, obiettivamente, la sussistenza di un rischio effettivo per i diritti e le libertà della paziente”;

“il numero degli interessati coinvolti dalla violazione dei dati in oggetto è circoscrivibile a 2 soggetti;

“la violazione (o le violazioni) ha (hanno) carattere colposo”;

“ribadiamo l’assenza di elementi che possano ricondurre, con certezza, tali violazioni ad un comportamento doloso o seppur anche colposo, tenuto dal nostro Ospedale”.

Durante l’audizione che si è svolta il XX presso la sede dell’Autorità, il titolare ha inteso precisare che:

- “per il caso clinico della paziente non si procede generalmente ad esame istologico, stante l'evidente natura benigna della lesione; tuttavia, su espressa richiesta della paziente, motivata da anamnesi pregressa, si è proceduto a richiedere l'esame istologico del campione prelevato. Tale circostanza costituisce una deviazione rispetto alla procedura abituale che potrebbe aver influito sulla dinamica dei fatti e sul comportamento dell'equipe di sala”;

- “non si è verificata una perdita del campione, ma uno smaltimento dello stesso, durante la fase operatoria, per un disguido comunicativo tra chirurgo e infermiere”;

- “la struttura ha ovviato a tale smaltimento attraverso un invito a follow-up più ravvicinati, al fine di confermare in via definitiva la natura benigna della lesione, così come di fatto è stato”;

- “già prima del periodo pandemico, la struttura si era dotata di un processo informatizzato, al fine di minimizzare il rischio di errore, anche in considerazione del gran numero di campioni processati (circa 65.000 l'anno, dei quali 18.000 provengono da sala operatoria), cifre da tenere in considerazione rispetto all’episodio isolato, che si è verificato a causa di un errore umano”;

- “è stata riprogrammata un'attività di formazione, già posta in essere negli anni precedenti, sulla base di ulteriori valutazioni di analisi di processo”;

- “quanto all'obbligo di notifica ai sensi dell’art. 33 del Regolamento, si ribadisce che quanto accaduto e le ulteriori misure correttive intraprese ha di fatto reso improbabile il verificarsi di un rischio effettivo per i diritti e le libertà dell’interessata”;

- “quanto all'episodio relativo al ritrovamento del DVD di altra persona e lo smarrimento di quello della reclamante, si precisa che la paziente si è recata presso la struttura a distanza di 3 mesi dalla prima visita, senza il suo DVD e con il DVD di un altro soggetto; ciò non rende possibile conoscere cosa sia accaduto in questo arco di tempo e, quindi, ricostruire in modo certo quanto avvenuto; ciò, anche in considerazione del fatto che la documentazione sanitaria di entrambi i soggetti proveniva da due strutture terze”;

- “il soggetto terzo il cui CD è stato rinvenuto tra la documentazione della reclamante non era stato visitato presso la struttura lo stesso giorno della reclamante, ma 8-10 giorni prima e, comunque, da un differente professionista, di altra specialità medica”;

- “il soggetto terzo non ha mai rappresentato alla struttura che non gli è stato restituito il DVD né che lo aveva smarrito”;

- “la struttura ha da sempre fornito istruzioni in ordine alla corretta tenuta della documentazione sanitaria, con particolare riferimento all'esigenza di non lasciare incustodita la predetta documentazione sulla scrivania (c.d. “clean desk")";

- “per ogni ambulatorio si svolgono circa 10-20 visite al giorno, per un totale di circa 3000 prestazioni ambulatoriali fornite giornalmente”.

3. Esito dell’attività istruttoria

Sulla base della documentazione acquisita in atti e preso atto di quanto rappresentato dalla Società nelle memorie difensive e durante l’audizione, si osserva che:

1. il Regolamento prevede che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di «integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare e del responsabile del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

2. il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico (art. 32, par. 1, lett. b) e c) del Regolamento);

3. in relazione agli obblighi di sicurezza, il Regolamento prevede che “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo (..) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche” (art. 33, par. 1);

4. il Considerando n. 85 precisa che “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”;

5. le Linee guida EDPB 01/2021 sugli esempi riguardanti la notifica di violazione dei dati specificano poi che “una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali. Il GDPR spiega che ciò può includere la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l'usurpazione d'identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo per le persone fisiche interessate. Uno degli obblighi più importanti del titolare del trattamento è valutare tali rischi per i diritti e le libertà degli interessati e attuare misure tecniche e organizzative adeguate per affrontarli” (punto 6).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dalla Società nelle memorie difensive sopra richiamate e nell’audizione non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare integralmente i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento del XX.

In particolare, quanto al campione di tessuto prelevato all’interno del seno paranasale della XX, che è stato smaltito, anziché essere inviato presso il laboratorio di anatomia patologica, si evidenzia che lo stesso può essere riconducibile alle categorie particolari di dati personali indicati nell’art. 9 del Regolamento. Infatti il prelievo di un campione di una parte del corpo della reclamante, che è stata sottoposta ad intervento operatorio, associato all’identità della stessa, rivela l’avvenuta prestazione di servizi di assistenza sanitaria, quindi, costituisce un dato sulla salute, così come definito dall’art. 4, par. 1, punto 15 del Regolamento e Cons. n. 35, protetto dalle peculiari garanzie contenute nell’art. 9 del Regolamento (cfr., altresì, provv. 21 dicembre 2023, n. 601, doc. web n. 9980617). Ciò, considerato, altresì, che l’asportazione del tessuto, collegato all’identità della reclamante, era anche finalizzata a sottoporre lo stesso a esame istologico tanto che, come dichiarato dalla Società, all’interno del referto operatorio risultava regolarmente annotato l’invio del materiale in anatomia patologica. Pertanto, la condotta della Società, in relazione all’operazione di distruzione del predetto materiale asportato, con la conseguente impossibilità che venisse effettuato l’analisi dello stesso, ha determinato una violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento.

Sulla stessa vicenda, in relazione alle valutazioni effettuate dalla Società, volte a ritenere o meno sussistente l’obbligo di notifica di violazione al Garante, ai sensi dell'art. 33 del Regolamento, si fa riferimento alla dichiarazione secondo la quale “considerate, da un lato l’assenza di pregiudizio alla confidenzialità dei dati, dall’altro l’efficacia delle azioni-contromisure prontamente poste in essere al fine di ridurre l’impatto connesso alla perdita di disponibilità delle informazioni, la valutazione circa la gravità della violazione rispetto ai diritti e alle libertà dell’interessata è stata qualificata come “bassa” e, per tale ragione, il titolare ha ritenuto che la violazione non dovesse essere notificata all’Autorità ai sensi dell’art. 33, Regolamento UE 2016/679 e delle relative Linee Guida dell’EDPB. Nell’ambito della considerata valutazione si è ritenuto, tra l’altro, che seppur la perdita di disponibilità del campione prelevato e la conseguente impossibilità di analisi dello stesso, fossero fatti di per loro rilevanti per la paziente, le contromisure adottate e, in particolare, la pronta attivazione di un percorso di follow-up radiologico e di visita specialistica volta ad accertare la natura della lesione riscontrata durante l’intervento, rendessero di fatto improbabile che dagli eventi occorsi potesse effettivamente derivare un rischio per i diritti e le libertà della paziente.

Al riguardo, si evidenzia che l’art. 33 del Regolamento, in caso di violazione dei dati personali, che si realizza anche a seguito di distruzione degli stessi (cfr. art. 4, par. 1, punto 12 del Regolamento e cfr. punti 17-19 delle “Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato Europeo per la protezione dei dati il 28 marzo 2023 (https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach _notification_v2.0_en.pdf ), richiede tale notifica “(…) a meno che sia improbabile che la violazione dei dati personali presenti un rischio (anche non elevato) per i diritti e le libertà delle persone fisiche” (cfr., altresì, provv. 19 dicembre 2024, n. 897, doc. web n. 10107405). La circostanza di non poter contare sull’esito di un esame istologico di un campione di tessuto, erroneamente smaltito, asportato durante un intervento chirurgico, non replicabile, ha determinato una violazione definitiva della disponibilità, a causa della distruzione accidentale o, comunque, non autorizzata, comportando effetti negativi sulla reclamante, in relazione a danni materiali o immateriali, considerato, altresì, che la paziente aveva espressamente richiesto, a causa di anamnesi pregressa, l'esame istologico del campione prelevato.

Quanto al presunto smarrimento del DVD contenente la RM effettuata presso la XX di Biella dalla reclamante in data XX, si rappresenta che, dalla documentazione in atti, risulta che il medesimo supporto non era rinvenibile presso la Società, ma non risulta comprovato che la condotta sia imputabile esclusivamente e con certezza alla Società. Analogamente può ritenersi per la comunicazione di dati del XX. In particolare, anche la circostanza che la reclamante abbia avuto notizia di informazioni sulla salute del XX, relativi ad una prestazione ricevuta dallo stesso, non è direttamente collegabile ad una condotta della Società; ciò, considerato altresì, l’arco temporale di 3 mesi intercorso tra le due visite presso la Società e rilevato che la documentazione sanitaria di entrambi i soggetti (la XX e il XX) proveniva da due distinte strutture e che il soggetto terzo il cui CD è stato rinvenuto tra la documentazione della reclamante non era stato visitato presso la struttura lo stesso giorno della reclamante, ma 8-10 giorni prima e, comunque, da un differente professionista, di altra specialità medica.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla Società Humanitas Mirasole s.p.a., nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. f) del Regolamento e degli artt. 32 e 33 del medesimo Regolamento, mentre si archivia la contestata violazione dell’art. 9 del Regolamento, in relazione alla comunicazione di dati sulla salute del XX e allo smarrimento del DVD della XX.

In tale quadro, considerate le misure assunte dal titolare, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 32 e 33 del Regolamento, causata dalle condotte poste in essere dalla Società, comporta l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”, mediante l’adozione di una ordinanza ingiunzione (art. 18 legge 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dalla Società, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Nel caso di specie, si è valutato che il titolare del trattamento ha posto in essere due condotte distinte, consistenti nel mancato rispetto del principio di “integrità e riservatezza” dei dati personali, di cui all’art. 5, par. 1, lett. f) e degli obblighi di sicurezza relativi al trattamento, di cui all’art. 32 del Regolamento, da una parte, e nella mancata notifica di violazione dei dati personali al Garante (art. 33, par. 1, del Regolamento) dall’altra; tali condotte devono essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative applicabili.

5.1 Mancato rispetto del principio di “integrità e riservatezza” dei dati personali (art. 5, par. 1, lett. f) del Regolamento), e degli obblighi di sicurezza relativi al trattamento (art. 32 del Regolamento)

Nel calcolo della sanzione amministrativa, in ossequio all’art. 83, par. 3, del Regolamento, si considerano unitamente le violazioni di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento, in quanto riferite a un unico trattamento (Linee guida 04/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR - Versione 2.0 adottata il 24 maggio 2023, par. 3.1.2, punto 39).

Il livello di gravità della violazione, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento, è da considerarsi alto, tenuto conto della categoria dei dati oggetto della violazione (materiale biologico) e degli effetti pregiudizievoli per l’interessata; ciò, pur considerando l’assenza di dolo nella condotta tenuta dal titolare.

Considerato il fatturato della Società, sono, altresì, valutati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che:

- il titolare del trattamento, si è immediatamente attivato per attenuare gli effetti negativi della violazione (art. 83, par. 2, lett. c) e f) del Regolamento);

- il titolare del trattamento non ha commesso violazioni pertinenti e ha collaborato in modo straordinario con l’Autorità (art. 83, par. 2, lett. e) e f) del Regolamento);

- l’Autorità ha preso conoscenza della violazione, a seguito di un reclamo (art. 83, par. 2, lett. h) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, per la condotta tenuta da titolare del trattamento nella vicenda in questione in violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000,00.

5.2 Mancata notifica di una violazione dei dati personali all’autorità di controllo (art. 33, par. 1 del Regolamento)

on riferimento alla violazione di cui all’art. 33 del Regolamento soggetta alla sanzione amministrativa cpecuniaria di cui all’art. 83, par. 4, del Regolamento medesimo, il livello di gravità della violazione, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento, è da considerarsi basso. Considerato anche in questo caso il fatturato della Società, sono, altresì, valutati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che:

- il titolare del trattamento non ha commesso violazioni pertinenti e ha collaborato in modo straordinario con l’Autorità (art. 83, par. 2, lett. e) e f) del Regolamento);

- l’Autorità ha preso conoscenza della violazione, a seguito di un reclamo (art. 83, par. 2, lett. h) del Regolamento).

Alla luce di quanto sopra, valutati nel loro complesso, per la condotta tenuta da titolare del trattamento nella vicenda in questione in violazione dell’art. 33 del Regolamento, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” ai sensi dell’art. 83, par. 1 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00.

5.3 Valutazioni aggiuntive e sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione

Tenuto conto della natura dei dati relativi alla salute il cui trattamento è oggetto della vicenda in questione, delle conseguenze della violazione che ha determinato una modifica del percorso di cura della reclamante, e della mancata notifica di violazione dei dati personali all’Autorità, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l'ordinanza-ingiunzione, sul sito Internet del Garante.

Si rileva, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società Humanitas Mirasole s.p.a, per la violazione degli artt. 5, par. 1, lett. f), 32 e 33 del Regolamento,

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società Humanitas Mirasole s.p.a., con sede legale in Rozzano (MI), Via Manzoni n. 56, c.a.p. 20089- C.F. 10125410158, di pagare la somma di euro 70.000,00 a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 70.000,00 secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10184697

Data
09/10/25

Argomenti

Dati sanitari Data breach

Tipologie

Ordinanza ingiunzione o revoca

Documenti citati

NEWSLETTER del 27/11/25 - Sanità, il Garante privacy sanziona società che gestisce un ospedale - Online le FAQ su trattamento dati e trasparenza nei concorsi pubblici - Whistleblowing: nuovo parere sulle Linee guida di ANAC - "La scuola a prova di privacy" Il vademecum aggiornato - GDPR e obblighi di trasparenza, il Garante partecipa al CEF 2026

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 9 ottobre 2025 [10184697]

g-docweb-display Portlet