NEWSLETTER N. 547 del 21 maggio 2026

• Data breach, il Garante privacy sanziona The European House Ambrosetti per 85mila euro
• Garante privacy: online le Faq aggiornate sul Fascicolo sanitario elettronico
• Garante: no alla diffusione delle foto di un malato senza consenso
• In Turchia la Conferenza di primavera dei Garanti europei

Data breach, il Garante privacy sanziona The European House Ambrosetti per 85mila euro
Coinvolte oltre 61mila persone, password non protette e comunicazione tardiva agli interessati

Una sanzione di 85mila euro è stata irrogata dal Garante per la protezione dei dati personali a The European House – Ambrosetti spa, società di consulenza strategica e think tank, per carenze nelle misure di sicurezza. Le criticità sono emerse a seguito di un data breach che ha coinvolto 61.670 persone, tra cui dipendenti di aziende clienti e personale interno che utilizzavano i servizi online. Tardiva anche la comunicazione della violazione agli interessati, avvenuta solo dopo l’intervento dell’Autorità.

L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password. Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. Conservava inoltre credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.

L’Autorità ha anche accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà. La comunicazione agli utenti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, solo dopo un provvedimento correttivo del Garante.

Con il provvedimento, il Garante ribadisce la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali. Le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.

Garante privacy: online le Faq aggiornate sul Fascicolo sanitario elettronico

Sono online le Faq aggiornate del Garante privacy sul Fascicolo sanitario elettronico (FSE), il sistema che raccoglie l’insieme dei dati e dei documenti sanitari e sociosanitari dei cittadini, generati dalle strutture sanitarie pubbliche e private che li hanno in cura.

Le novità, oltre ad alcune integrazioni in tema di consenso, riguardano in particolare il dossier farmaceutico e l’Ecosistema dati sanitari (EDS).

Il dossier farmaceutico – precisano le Faq - è una sezione del FSE aggiornata dalla farmacia al momento della consegna dei farmaci. Consente di migliorare la qualità del servizio e favorire il monitoraggio, l’appropriatezza nell’erogazione dei medicinali e l’aderenza alla terapia, contribuendo alla sicurezza del paziente. Il dossier rientrerà tra i servizi offerti dall’EDS, che estrarrà dal FSE le informazioni relative alle prescrizioni e alle erogazioni farmaceutiche, con esclusione di quelle oscurate dall’assistito.

L’EDS, come indicato nelle Faq, è una componente del FSE alimentata con i dati e i documenti presenti nel Fascicolo - esclusi quelli oscurati dall’assistito - nonché con quelli resi disponibili dal sistema Tessera Sanitaria.

Su richiesta, l’EDS potrà fornire servizi di analisi ed elaborazione dei dati a cittadini, professionisti sanitari, Ministero della Salute, Agenas e Regioni. Tali servizi, secondo il parere del Garante sull’EDS, saranno attivabili solo a seguito della completa attuazione del FSE 2.0.

Attraverso l’EDS sarà inoltre possibile utilizzare i dati per finalità di prevenzione, controllo e gestione del sistema sanitario.

In ambito di ricerca scientifica medica, biomedica ed epidemiologica, l’EDS potrà rendere disponibili dati anonimizzati, accessibili esclusivamente al personale autorizzato del Ministero della Salute, di Agenas e delle Regioni o Province autonome.

Le FAQ sono consultabili sul sito internet del Garante privacy www.gpdp.it

Garante: no alla diffusione delle foto di un malato senza consenso
Sanzionato un medico per 5mila euro 

Non è possibile pubblicare immagini di una persona malata senza consenso, neanche per finalità di ricerca medico scientifica, se prima non siano state anonimizzate.

A maggior ragione se ne ledono la dignità. Lo ha ribadito il Garante privacy che ha irrogato una sanzione di 5mila euro a un medico che aveva utilizzatole foto di un neonato affetto da una grave malformazione e poi deceduto, nell’ePoster di presentazione di una ricerca in occasione di un convegno di medicina. Lo studio era stato poi pubblicato sul sito della Società italiana di pediatria (Sip) e successivamente rimosso.

L’Autorità si è attivata a seguito della segnalazione della madre del bambino, che aveva trovato in rete l’ePoster con le foto che ritraevano il figlio affetto dalla malattia, in una culla dell’ospedale, con numerose informazioni sulla storia clinica della famiglia. Foto e informazioni che lo rendevano identificabile, seppur da una cerchia limitata di persone.

Nel corso dell’istruttoria il Garante ha accertato che il medico oltre a non aver adottato misure adeguate ad impedire l’identificabilità diretta e indiretta del minore, non aveva neanche chiesto il consenso ai genitori per la pubblicazione delle informazioni. Consenso che era necessario in caso di utilizzo di foto e/o immagini.

Nel definire il procedimento, il Garante ha ricordato che il Codice di condotta sull’utilizzo di dati sulla salute per finalità di studio e di pubblicazioni scientifiche approvato dall’Autorità prevede che il medico assicuri la non identificabilità dei soggetti coinvolti mediante l’adozione di specifiche misure di anonimizzazione e, qualora ciò non sia possibile, di pseudonimizzazione previo consenso dell’interessato.

Nel caso specifico, il medico avrebbe quindi dovuto acquisire il consenso dei genitori e poi sottoporre i dati a tecniche di pseudonimizzazione, nel rispetto della dignità del neonato, oppure anonimizzare i dati del minore. 

In Turchia la Conferenza di primavera dei Garanti europei

Riforma del GDPR, intelligenza artificiale e tutela dei minori sono stati i principali temi al centro della Spring Conference 2026, la Conferenza europea delle Autorità di protezione dati, che si è tenuta ad Antalya, in Turchia, dal 5 all’8 maggio. Per il Garante italiano erano presenti il componente del Collegio, Agostino Ghiglia, e il direttore del Servizio relazioni internazionali e con l'Unione europea, Riccardo Acciai.

Nel suo intervento, Ghiglia ha richiamato l’attenzione sulla necessità di proteggere i dati personali dei minori come parte essenziale della tutela della loro dignità, libertà e crescita. I dati dei bambini – diffusi su social network, piattaforme di gioco online e sistemi di IA – possono incidere sulla loro identità, sulle opportunità future e sulla capacità di autodeterminarsi. Un tema ancora più urgente, nell’era dell’intelligenza artificiale, visto che il digitale costituisce l’architettura in cui i nostri figli crescono. Ghiglia ha infine sottolineato il ruolo centrale dell’educazione civica digitale, della scuola, delle famiglie, delle piattaforme e delle autorità di protezione dati: proteggere i dati dei minori significa proteggere il futuro delle società democratiche. La Conferenza di primavera riunisce dal 1991 le Autorità di protezione dati della UE e dello Spazio economico europeo, oltre a organismi di regolamentazione di molti altri Paesi, rappresentanti di organizzazioni internazionali, esponenti del mondo accademico e della società civile. Obiettivo dell’iniziativa è offrire una piattaforma di cooperazione in cui affrontare questioni di interesse comune e scambiare le migliori pratiche nel campo della privacy e della protezione dei dati.

Nel corso dei lavori, sono state effettuate anche le votazioni per il comitato direttivo (steering committee) della Spring Conference per il prossimo triennio che hanno visto l’elezione, col più alto numero di preferenze, anche del Garante italiano.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ

Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Garlasco, dal Garante privacy fermo richiamo ai media. L’Autorità continua a vigilare sulla vicenda, anche alla luce dei reclami ricevuti dagli interessati – Comunicato del 15 maggio 2026

- Deepfake: nuovo avvertimento del Garante privacy. L’Autorità chiede maggiori poteri 
di intervento – Comunicato del 6 maggio 2026

- Garante privacy ad albergatori: no alla conservazione di copia dei documenti degli ospiti. Dopo la comunicazione alle autorità di pubblica sicurezza i dati vanno distrutti o cancellati – Comunicato del 29 aprile 2026

- Podcast: “A proposito di privacy” episodio 7 Diritti, trasparenza, responsabilizzazione: 10 anni di GDPR - 27 aprile 2026

- Prostituzione a Milano: il Garante privacy richiama i media - Comunicato 23 aprile 2026

- Tracking pixel nelle email: pubblicate le linee guida del Garante privacy
Più trasparenza e controllo per gli utenti: consenso obbligatorio e sei mesi agli operatori per l’adeguamento – Comunicato del 21 aprile 2026

- Il Garante privacy sanziona Poste Italiane e Postepay per oltre 12,5 milioni di euro – Comunicato del 20 aprile 2026

- Ricerca scientifica: in consultazione le Linee guida EDPB, con il contributo del Garante privacy – Comunicato del 17 aprile 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it