[doc. web n. 10262049]

Provvedimento del 14 maggio 2026

Registro dei provvedimenti
n. 346 del 14 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTE le “Linee guida in materia di Dossier sanitario” adottate dal Garante il 4 giugno 2015 (Provvedimento pubblicato in G.U. 164 del 17 luglio 2015, doc. web n. 4084632,),

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. L’attività ispettiva

In data 20 e 21 gennaio 2026 è stato svolto un accertamento ispettivo presso l’A.O.R.N. “Azienda ospedaliera dei colli”, Monaldi-Cotugno-CTO di Napoli (di seguito Azienda), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali in generale e, più in particolare, “il rispetto delle linee guida del Garante del 4 giugno 2015 nel trattamento dei dati personali effettuato attraverso il Dossier Sanitario (doc. web n. 4084632)”.

Nel corso della predetta attività ispettiva è stato accertato che l’Azienda dal 2022 utilizza come dossier sanitario la funzionalità di order entry del sistema ASAP_sio, fornito da Nexera srl, sub fornitore di Engineering, designata quale responsabile del trattamento, ai sensi dell’art. 28 del Regolamento. Il dossier è alimentato con le richieste di esami (esami di laboratorio ed esami radiologici) e con i relativi referti prodotti in occasione di tutte le prestazioni ambulatoriali, di quelle di pronto soccorso e dei ricoveri.

L’Azienda ha inoltre dichiarato che l’informativa in uso al momento dell’accertamento ispettivo era quella presente sul sito Internet (in atti), la quale indicava trattamenti ulteriori (per finalità e tipologie di documenti) rispetto a quelli effettivamente posti in essere attraverso il dossier sanitario aziendale.

In merito a tali trattamenti, risulta in atti che l’Azienda -alla data dell’accertamento ispettivo- richiedeva -una tantum- il consenso informato dell’interessato al dossier nel momento del primo contatto (in caso di minori il consenso era prestato dal rappresentante legale).

Al momento dell’accertamento ispettivo, il professionista sanitario, nel caso in cui il paziente non avesse ancora fornito il consenso al dossier, visualizzava sul sistema un pop up specifico in considerazione del quale poteva procedere alla raccolta del consenso (o dissenso) dell’interessato, registrandolo sul sistema e stampando un documento in duplice copia che veniva conservato in atti e consegnato all’interessato. Secondo quanto dichiarato, a fronte di circa 40.000 prestazioni annue erogate dall’Azienda, la quasi totalità dei pazienti ha manifestato il proprio consenso al trattamento dei dati attraverso il dossier sanitario (percentuale di dissenso pari circa allo 0,03%).

Nel corso dell’accertamento ispettivo è stato inoltre rilevato che l’Azienda non ha provveduto a richiedere il consenso specifico per consultare attraverso il dossier i c.d. “dati pregressi” (dati e documenti prodotti da eventi clinici antecedenti alla manifestazione di consenso), ritenendo che la formulazione del consenso per l’attivazione del dossier sanitario valesse anche per la consultabilità dei dati relativi a prestazioni erogate prima della manifestazione di volontà dell’interessato.

Nel corso dell’ispezione, l’Azienda ha inoltre rappresentato che il dossier utilizzato sarebbe stato sostituito, presumibilmente entro il 2026, da un dossier più completo in funzione della piena informatizzazione della cartella clinica aziendale (all’epoca dell’accertamento in fase di test e configurazione in alcuni reparti) al fine di individuare le necessità cliniche di disponibilità e condivisione dei dati e le connesse misure a tutela dei dati personali.

In merito ai soggetti che potevano consultare il dossier sanitario, l’Azienda ha dichiarato di aver abilitato tutti i professionisti sanitari (medici e infermieri) ivi operanti. Il sistema di profilazione in uso al momento dell’accertamento ispettivo consentiva all’operatore sanitario di accedere solo ai dossier dei pazienti in cura presso l’unità operativa a cui era associato mediante la funzione “storico”. Con tale funzione, se il paziente aveva prestato il consenso, con il ruolo di “infermiere” e con quello di “medico” era possibile accedere al dossier dei pazienti (ricoverati e dimessi) della propria unità operativa anche con riferimento a prestazioni erogate da altre unità.

È stato rilevato inoltre che con il profilo di “medico”, oltre a quanto sopra descritto, era possibile, tramite la funzione “ricerca paziente”, ricercare qualsiasi paziente avesse ricevuto una prestazione presso l’Azienda, inserendo uno dei seguenti parametri: nome, cognome, codice fiscale e data di nascita. Attraverso tale funzione, il professionista sanitario poteva visualizzare l’elenco dettagliato dello storico delle prestazioni erogate anche a pazienti che, in quel momento, non erano in cura presso il medico che effettuava l’accesso, potendo però consultare solo i singoli documenti relativi alla propria unità e solo se il paziente era transitato per la medesima. Nel caso in cui il paziente non fosse transitato nell’unità operativa del medico che effettuava l’accesso e non fosse, in quel momento, in cura presso lo stesso, non era consentita, a quest’ultimo, la visualizzazione dell’elenco dettagliato dello storico degli accessi.

A seguito delle predette dichiarazioni, nel corso dell’accertamento ispettivo è stato constatato che con l’utenza “infermiere” era possibile visualizzare il dossier dei pazienti (ricoverati o dimessi) della propria unità operativa che avevano prestato il consenso anche con riferimento a prestazioni erogate da altre unità sino al 2021 (cfr. verbale del 20 gennaio 2026).

Con riferimento all’utenza “medico” (“medico – CC”, “medico – ambulatorio”, “medico – LA + CC”, “medico – ambulatorio richiesta esami”, ), è stato constatato quanto sopra dichiarato, ovvero che lo stesso aveva visibilità su tutte le Unità operative (U.O.) in cui prestava servizio, potendo scegliere la U.O. fra le diverse disponibili, visualizzare pazienti ricoverati nella U.O. di competenza, vedere il dossier dei pazienti (ricoverati o dimessi) della propria unità operativa che avevano prestato il consenso anche con riferimento a prestazioni erogate da altre unità sino al 2021 e, soprattutto, visualizzare lo storico delle prestazioni erogate anche a pazienti che non erano in quel momento in cura (se erano transitati per l’unità operativa del medico che effettua l’accesso), potendo però consultare solo i documenti relativi alla propria unità (cfr. verbale del 20 gennaio 2026).

Secondo quanto dichiarato in atti, al momento dell’accertamento ispettivo esistevano due macro aeree di ruoli abilitati all’accesso al dossier: medico e infermiere. Erano inoltre previsti dei sotto ruoli in funzione delle specifiche attività svolte. Il direttore dell’unità operativa indicava, all’atto dell’assegnazione del professionista, il tipo di attività che allo stesso dovevano essere consentite affinché venisse associato un profilo di autorizzazione specifico (ruolo). La gestione delle utenze era effettuata da un utente con privilegi amministrativi mediante funzioni ad hoc. La procedura di autenticazione informatica al dossier si basava sull’inserimento di credenziali (username e password).
All’atto dell’accertamento ispettivo, il personale infermieristico accedeva al dossier con un unico profilo legato alla unità operativa di appartenenza/assegnazione. I medici potevano invece avere uno o più username (nome.cognome) e ogni username era associato ad una o più unità organizzative e a uno o più profili. Tutti i profili avevano accesso agli stessi dati, ma con possibilità di avere funzioni di visibilità degli stessi distinte sulla base delle unità operative associate.

Il medico di guardia e la direzione sanitaria avevano una username del tipo “m.nome.cognome” e una profilatura specifica e distinta. In particolare, la direzione sanitaria poteva accedere al dossier in consultazione solo per le attività di controllo della cartella clinica.

Nel corso dell’accertamento ispettivo è stato inoltre rilevato che erano tracciate le operazioni di creazione, modifica e cancellazione, ma non quelle di consultazione e che, con riferimento ai login e logout degli operatori, le uniche informazioni registrate erano la data e l’ora dell’ultimo accesso dell’utenza; queste ultime informazioni erano utilizzate per la disattivazione dell’utenza dopo 90 giorni di inattività. Erano inoltre registrate le operazioni relative all’espressione del consenso (o dissenso) dell’interessato.

Durante l’accertamento ispettivo, l’Azienda ha poi rappresentato che non vi erano sistemi di alert a campione, né sistemi di audit log, essendo effettuati eventuali approfondimenti sugli accessi solo su richiesta. Al riguardo, l’Azienda ha rappresentato che i sistemi di alert e di audit log sarebbero stati disponibili nel nuovo applicativo di cartella clinica informatizzata e, quindi, nel nuovo dossier sanitario.

L’Azienda ha inoltre dichiarato in atti che il paziente veniva identificato tramite lettura ottica della Tessera Sanitaria. Il nominativo era verificato nell’Anagrafe Unica Regionale collegata con il Sistema Tessera Sanitaria.

È stato inoltre dichiarato che non sono stati impostati termini specifici per la conservazione dei dati e dei documenti nel dossier sanitario in quanto questi risalgono al massimo all’anno 2014 e il sistema era in fase di dismissione. Secondo quanto rappresentato, nel nuovo sistema di dossier sanitario in fase di adozione saranno previsti specifici termini di conservazione dei dati e dei documenti.

Con nota del 6 febbraio 2026 l’Azienda, a scioglimento delle riserve effettuate in sede ispettiva, ha precisato che:

“al fine di informare l’interessato nel modo più idoneo possibile”, ha provveduto a rilasciare una nuova versione dell’informativa ex art. 13 del Regolamento, pubblicata anche sul sito aziendale (https://www.ospedalideicolli.it/privacy/), in cui sono state più dettagliatamente definite la natura e la tipologia dei dati che costituiscono il dossier, specificando che lo stesso è limitato all’insieme dei dati personali e sanitari relativi alle richieste di esami di laboratorio, di radiologia e di consulenza e dei relativi referti prodotti in occasione di accessi ambulatoriali, di ricovero e di pronto soccorso. Nel nuovo modello di informativa è stato inoltre indicato in modo esplicito il periodo di conservazione dei dati contenuti nel dossier, individuato in 10 anni antecedenti alla data di consultazione;

“Al fine di ottimizzare la logica di accesso al dossier, sia per quanto riguarda la limitazione al solo personale sanitario che interviene nel processo di cura del paziente, che al tempo in cui questo si articola” ha richiesto al fornitore di eliminare dal menù delle funzioni previste dal sistema, la sezione “ricerca paziente”, mediante la quale era possibile la ricerca degli assistiti attraverso quattro diversi filtri (nome, cognome, codice fiscale e data di nascita). L’eliminazione della suddetta sezione “ricerca paziente” dal menù delle funzioni comporta che l’unico percorso attraverso il quale si potrà accedere alla sezione “Storico” del modulo “Richiesta esami” sarà quello della sezione “lista pazienti” che, richiedendo a monte la selezione della U.O. di riferimento, riporterà solo gli eventi in corso e quelli precedentemente erogati da quella singola U.O. Per questi ultimi è stato impostato che il filtro “Dimessi” limiterà la durata della consultazione fino a 60 giorni dalla chiusura dell’evento clinico. La soluzione di questo unico percorso, attraverso il quale si potrà accedere alla sezione “Storico” del modulo “Richiesta esami” di un determinato soggetto con un processo di cura in corso, oltre agli eventi erogati dalla U.O. di riferimento, permetterà di consultare anche gli eventi erogati da altre U.O., per i quali il paziente aveva precedentemente espresso il consenso alla condivisione;

relativamente alla tracciabilità degli accessi e delle operazioni effettuate, era in corso la storicizzazione delle attività di login e logout, oltre al salvataggio della data e dell’ora dell’ultimo accesso al sistema. Relativamente ai log del dossier, oltre a tracciare le operazioni di creazione, modifica e cancellazione, saranno tracciate e storicizzate anche le operazioni di consultazione.

Con successiva nota del 16 febbraio 2026, l’Azienda ha inoltre rappresentato che:

“ha provveduto alla storicizzazione completa degli eventi di login e logout tramite la relativa memorizzazione nel data base nella tabella denominata “ACL_USER_LOGIN_AUDIT”, contenente i campi: “ID” (identificativo del record all’interno della tabella degli eventi); ”IP_Address” (indirizzo IP della postazione che ha effettuato l’accesso al sistema); “Login_Date” (data e ora del login); “Logout_Date” (data e ora del logout - il campo risulta valorizzato a null in caso di mancato log-out da parte dell’utente); “User_Id” (identificativo univoco dell’account dell’operatore che ha effettuato l’operazione)”;

“al fine di poter dare riscontro all’interessato in merito alla richiesta avanzata dallo stesso o da un suo delegato, volta a conoscere gli accessi eseguiti sul proprio dossier, l’Azienda ha provveduto ad integrare la gestione dei log del dossier tracciando, oltre alle operazioni di modifica, creazione e cancellazione, anche le operazioni di accesso per semplice consultazione del modulo "Richiesta esami" (de facto “dossier”)”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con nota del 13 marzo 2026 (prot. n. 38612), ha notificato all’Azienda ospedaliera dei colli, Monaldi-Cotugno-CTO, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, nella predetta nota l’Ufficio ha evidenziato che la configurazione del dossier sanitario effettuata dall’Azienda è stata posta in essere in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), b), c), e) e f), par. 2, 9, 13, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Con nota del 10 aprile 2026, l’Azienda ha inviato gli scritti difensivi, ribadendo quanto già rappresentato in atti evidenziando che “l’impostazione difensiva (…) si fonda non già sulla negazione del bisogno di adeguamento, ma sulla richiesta di una valutazione proporzionata, analitica e graduata delle violazioni contestate” e ha precisato, in particolare:

che la versione di ASAP_SIO è utilizzata dall’Azienda dal 2014, ma la predisposizione della relativa funzionalità order entry, utilizzata come dossier sanitario, è stata avviata “nel corso del 2022” ed è stata rilasciata effettivamente solo a dicembre 2023 e che comunque ha un limitato perimetro funzionale (richieste di esami, referti ambulatoriali, di pronto soccorso e ricoveri);

che “è stato valutato che il sistema ASAP_SIO, utilizzato anche come dossier, non era idoneo a garantire che il trattamento dei dati di un paziente avvenisse nel totale rispetto dei principi fondamentali del GDPR e delle specifiche linee guida del Garante. A conferma si rappresenta inoltre che lo strumento nel suo complesso era stato comunque già valutato come non adeguato, dal punto di vista tecnologico, per rispondere al processo di ammodernamento del parco tecnologico digitale ed ospedaliero (Missione 6 PNRR), nell’ambito del quale era stata prevista anche la realizzazione dell’evoluzione della CCE”;

che al momento dell’accertamento ispettivo era già in atto un processo di ammodernamento che avrebbe portato alla realizzazione di un “dossier sanitario più completo e soprattutto pienamente conferme a quanto indicato nelle specifiche linee guida del Garante”;

di aver organizzato appositi corsi di formazione in materia di protezione dei dati personali sin dal 2019 rivolti a tutto il personale;

di essersi attivata prontamente per superare le criticità emerse durante l’accertamento ispettivo e che “non intende assolutamente assumere una linea di indiscriminata contestazione dei rilievi notificati, essa auspica che gli interventi messi in atto, e la rapidità con cui sono stati realizzati e programmati” siano valutati positivamente;

in merito alla violazione del principio di trasparenza, che “la criticità contestata si colloca principalmente sul piano della precisione e dell’allineamento contenutistico dell’informativa rispetto al perimetro reale del sistema”; ciò anche con riferimento all’“improprio richiamo” nel testo dell’informativa all’art. 82 del Codice;

in merito alla mancata acquisizione del consenso dell’interessato con riferimento ai c.d. dati pregressi, “che tale configurazione non traeva origine da un intento di compressione delle prerogative dell’interessato, né tantomeno da una condotta volta a bypassare consapevolmente un presidio di tutela” e che “il paziente veniva comunque informato all’atto dell’accesso della esistenza di eventuali eventi pregressi a suo carico”. Attualmente è prevista una maggiore granularità dei consensi;

con riferimento alla possibilità di accedere al dossier per le attività di controllo della cartella clinica, che sono state modificate tali attività e che con il nuovo sistema informativo è stato previsto che “tutte le attività organizzative e amministrative a supporto delle attività di cura verranno assolte tramite percorsi di accesso al sistema autonomi e separati da quelli associati alle funzionalità del dossier sanitari”;

con riferimento alla funzione “ricerca paziente”, eliminata pochi giorni dopo l’ispezione, “l’Azienda riconosce che tale funzionalità presentava profili di ampiezza non ottimale rispetto ai principi di minimizzazione e di privacy by design. Tuttavia, confida che la spettabile Autorità valuti anche la constatazione che non vi era una libertà indiscriminata di accesso a tutti i documenti sanitari del paziente, bensì una visibilità differenziata e più ristretta sui singoli documenti, collegata all’unità operativa di appartenenza del professionista”;

che non emergono elementi attestanti utilizzi fraudolenti, abusivi o scientemente distorti del sistema da parte degli utenti dell’Azienda, né risultano contestati episodi specifici di accesso illecito concretamente pregiudizievole verso singoli interessati;

2. Esito dell’attività istruttoria.

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”) e del d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”).

Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza” e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento).

I dati inoltre devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità e comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principi della limitazione della finalità e di minimizzazione dei dati - art. 5, par. 1, lett. b) e c) del Regolamento).

Il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

Tra i principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, merita in questa sede evidenziarsi anche quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 del Regolamento).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento. Il titolare adotta misure tecniche e organizzative adeguate che sono concepite per attuare in modo efficace i principi di protezione dei dati e integra nel trattamento le necessarie garanzie per conformare i trattamenti alla disciplina in materia di protezione dei dati e per tutelare i diritti e le libertà degli interessati.

Con riferimento ai trattamenti oggetto del citato accertamento ispettivo, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure e accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano, che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

L’Azienda ha riconosciuto, nella documentazione in atti, che “il sistema ASAP_SIO, utilizzato anche come dossier, non era idoneo a garantire che il trattamento dei dati di un paziente avvenisse nel totale rispetto dei principi fondamentali del GDPR e delle specifiche linee guida del Garante” e si è prontamente attivata per apportare nell’immediato misure correttive in relazione alle specifiche criticità rilevate che sono di seguito evidenziate.

2.1 trasparenza del trattamento

Alla luce del richiamato principio di liceità, correttezza e trasparenza, il titolare del trattamento deve fornire all’interessato, nel momento in cui i dati personali sono ottenuti, una serie di informazioni in merito alle caratteristiche del trattamento, tra cui le finalità del trattamento cui sono destinati i dati e il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo (art. 13).

Il considerando 60 al Regolamento specifica inoltre che il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati (art. 5, par. 1, lett. e)). Dovrebbero infatti essere trasparenti per gli interessati le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano, nonché la misura in cui i dati personali sono o saranno trattati (Considerando n. 39).

I dati poi devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («principio di limitazione della conservazione»). Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica (Considerando n. 39).

Anche le richiamate Linee guida sul dossier hanno evidenziato la necessità che il trattamento dei dati personali effettuato mediante il dossier sanitario sia effettuato previa specifica informativa agli interessati che contenga tutti gli elementi previsti dalla normativa vigente (punto 2). In particolare, le Linee guida hanno evidenziato l’importanza di rappresentare all’interessato il reale ambito di conoscibilità delle informazioni attraverso il dossier sanitario

Nel corso della richiamata attività ispettiva, come confermato anche nelle memorie difensive dall’Azienda, è stato constatato che la stessa aveva in uso un’informativa relativa ai trattamenti effettuati attraverso il dossier sanitario che indicava trattamenti ulteriori (per finalità e tipologie di documenti) rispetto a quelli effettivamente posti in essere attraverso il dossier sanitario, non fornendo quindi una chiara indicazione all’interessato sull’ambito di conoscibilità dei suoi dati personali attraverso tale strumento informativo.

Inoltre, la predetta informativa conteneva riferimenti normativi non corretti (es. art. 82 del Codice) e non forniva indicazioni sul periodo di conservazione dei dati in quanto non erano stati impostati termini specifici in merito, che sono stati individuati dall’Azienda solo a seguito dell’accertamento ispettivo.

Successivamente all’attività ispettiva, l’Azienda si è prontamente adoperata adottando una nuova versione dell’informativa in cui sono state più dettagliatamente definite la natura e la tipologia dei dati che costituiscono il dossier, specificando che il dossier sanitario utilizzato dall’Azienda è limitato all’insieme dei dati personali e sanitari relativi alle richieste di esami di laboratorio, di radiologia e di consulenza e dei relativi referti prodotti in occasione di accessi ambulatoriali, di ricovero e di pronto soccorso effettuate presso di essa. Nel nuovo modello di informativa è stato inoltre indicato in modo esplicito il periodo di conservazione dei dati contenuti nel dossier, individuato in 10 anni antecedenti alla data di consultazione.

2.2 Consenso al pregresso

Nelle Linee guida del 2015 sopra richiamate, il Garante ha specificato che il dossier sanitario, costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo.

All’interessato, infatti, deve essere consentito di scegliere, in piena libertà, che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti, senza la loro necessaria inclusione in tale strumento.

In seguito alla piena applicazione del Regolamento, con il provvedimento del 7 marzo 2019, il Garante ha individuato -a titolo esemplificativo- alcuni trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), tra i quali sono stati annoverati anche quelli effettuati attraverso il dossier sanitario (doc. web n. 9091942).

Nelle citate Linee guida è inoltre chiarito che l’inserimento delle informazioni relative ad eventi sanitari pregressi all’istituzione del dossier sanitario deve, altresì, fondarsi sul consenso specifico ed informato dell’interessato; potendo quest’ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non siano trattate mediante il dossier.

Nell’accertamento ispettivo è stato rilevato che, sebbene l’Azienda avesse acquisito il consenso dell’interessato per i trattamenti effettuati attraverso il dossier, non aveva provveduto a richiedere il consenso specifico per il c.d. “pregresso” (dati e documenti prodotti da eventi clinici antecedenti alla manifestazione di consenso) in quanto aveva ritenuto che la formulazione del consenso per l’attivazione del dossier sanitario valesse anche per la consultabilità dei dati relativi alle prestazioni sanitarie erogate prima della manifestazione del consenso. Sebbene l’Azienda abbia dichiarato in atti che l’interessato veniva comunque informato in merito a tali trattamenti, non ha consentito all’interessato di esprimere una specifica manifestazione di volontà al riguardo.

Sul punto si prende favorevolmente atto che l’Azienda si è prontamente attivata nella riformulazione dei consensi richiesti prevedendo anche quello al c.d. pregresso.

2.3 Profili di accesso e di autorizzazione al dossier sanitario

Nel richiamare i citati principi della limitazione della finalità e di minimizzazione dei dati, si rappresenta che nelle suddette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente raccomandato al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria.

A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

Nelle citate Linee guida il Garante ha dunque evidenziato che il dossier sanitario costituisce uno strumento di ausilio per il personale sanitario, consultabile da parte dello stesso nel processo di cura del paziente. In quanto tale, l’accesso al dossier deve essere limitato al personale sanitario che interviene in tale processo di cura e deve essere posto in essere esclusivamente da parte dei soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico nell’esercizio di attività medico-legale (ad es., visite per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni) (cfr., punto 6).

Dall’accertamento ispettivo è emerso che la direzione sanitaria poteva accedere al dossier sanitario in consultazione per le attività di controllo della cartella clinica. Come sopra richiamato, si rileva che, attesa la natura facoltativa del dossier e l’incompletezza informativa di tale strumento (cfr. diritto di oscuramento), lo stesso non dovrebbe essere utilizzato per finalità riconducibili alla gestione di esigenze organizzative e amministrative del titolare.

Si prende al riguardo favorevolmente atto che, a seguito dell’accertamento ispettivo, è stata modificata l’attività di controllo delle cartelle cliniche e che nel nuovo dossier sanitario è esclusa la possibilità di accesso per attività diverse da quelle di cura del paziente.

Dall’accertamento ispettivo è emerso inoltre che tramite la funzione “ricerca paziente” era possibile, per il personale medico, ricercare un assistito -anche dimesso- tramite quattro parametri (nome, cognome, codice fiscale e data di nascita) e quindi accedere al relativo dossier (se aveva prestato il consenso) visualizzando l’elenco dello storico delle prestazioni erogate anche da altre unità sin dal 2021, a prescindere dalla circostanza che il paziente fosse effettivamente in cura presso il medico che effettuava l’accesso (cfr. verbale del 20.1.2026, all. 3 - screenshot 82 e 83). L’accesso ai singoli documenti presenti nell’elenco era invece limitato ai soli documenti relativi all’unità operativa del medico che effettuava l’accesso e solo se il paziente era transitato per la stessa.

A seguito dell’accertamento ispettivo, l’Azienda ha eliminato dal menù delle funzioni previste dal sistema, la sezione “ricerca paziente” determinando così che l’unico percorso attraverso il quale si potrà accedere alla sezione “Storico” del modulo “Richiesta esami” sarà quello della sezione “lista pazienti” che, richiedendo a monte la selezione della U.O. di riferimento, riporterà solo gli eventi in corso e quelli precedentemente erogati da quella singola U.O.. È stata inoltre modificata l’impostazione del filtro “Dimessi” che limiterà la durata della consultazione fino a 60 giorni dalla chiusura dell’evento clinico.

2.4 Controllo degli accessi al dossier e tracciabilità degli accessi e delle operazioni effettuate

Nel richiamare quanto previsto dall’art. 32 del Regolamento sopra citato, si rappresenta che nelle predette Linee guida questa Autorità ha ritenuto che “il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit. Il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)” (punto 7, lett. b).

Nelle citate Linee guida è stato inoltre chiarito che le strutture sanitarie devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute.

Per ogni operazione di accesso al dossier effettuata da un incaricato, devono essere registrate almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. I predetti log devono essere conservati dal titolare per un periodo non inferiore a 24 mesi dalla data dell’operazione registrata.

Nelle richiamate Linee guida il Garante ha prescritto che i titolari del trattamento forniscano all’interessato, che abbia manifestato il proprio consenso al trattamento dei dati personali mediante il dossier sanitario, un riscontro alla richiesta avanzata dallo stesso o da un suo delegato, volta a conoscere gli accessi eseguiti sul proprio dossier con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso. Di tale diritto esercitabile dagli interessati devono essere opportunamente informati anche i soggetti autorizzati ad accedere al dossier sanitario.

Il titolare del trattamento o un suo delegato devono fornire riscontro alla suddetta richiesta dell’interessato entro quindici giorni dal suo ricevimento. Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o un suo delegato ne danno comunicazione all’interessato. In tal caso, il termine per l’integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima

Secondo quanto dichiarato in atti, si rileva che, all’atto dell’accertamento ispettivo, erano tracciate solo le operazioni di creazione, modifica e cancellazione, ma non quelle di consultazione, prontamente inserita successivamente all’ispezione, e che non vi erano sistemi di alert a campione né sistemi di audit log.

Successivamente agli accertamenti ispettivi, relativamente alla tracciabilità degli accessi e delle operazioni effettuate, l’Azienda ha dichiarato che sta procedendo alla storicizzazione delle attività di login e logout, oltre al salvataggio della data e dell’ora dell’ultimo accesso al sistema e che, relativamente ai log del dossier, oltre a tracciare le operazioni di creazione, modifica e cancellazione, sono tracciate e storicizzate anche le operazioni di solo accesso.

Tali modifiche sono state individuate come necessarie per “poter dare riscontro all’interessato in merito alla richiesta avanzata dallo stesso o da un suo delegato, volta a conoscere gli accessi eseguiti sul proprio dossier”.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive e nelle successive note integrative, relative al richiamato procedimento non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda ospedaliera dei colli, Monaldi-Cotugno-CTO di Napoli con riferimento al procedimento avviato a seguito degli accertamenti ispettivi e della notifica di violazione, nei termini di cui in motivazione, in particolare, per aver trattato dati personali attraverso il dossier sanitario in violazione degli artt. 5, par. 1, lett. a), b), c), e) e f), par. 2, 9, 13, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida.

In tale quadro, avendo prontamente l’Azienda posto in essere le misure correttive necessarie a conformare il trattamento dei dati personali tramite il dossier sanitario al quadro normativo vigente, sopra richiamato, la condotta contestata ha cessato di produrre i suoi effetti e pertanto non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), b), c), e) e f), par. 2, 9, 13, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida, causata dalla condotta dell’Azienda ospedaliera dei colli Monaldi-Cotugno-CTO di Napoli, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione  che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, della mole delle prestazioni rese (40.000 prestazioni annue) e della durata della violazione (dal dicembre 2023)  si ritiene che il livello di gravità della violazione commessa dall’Azienda sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione, in particolare, le circostanze sotto riportate:

- le misure tempestivamente implementate dall’Azienda per conformare il trattamento dei dati personali dei pazienti effettuato attraverso il dossier sanitario al quadro normativo vigente anche al fine di tutelare i diritti e le liberta degli interessati (art. 83, par. 2, lett. c) del Regolamento);

- il Garante ha preso conoscenza delle violazioni a seguito degli accertamenti ispettivi svolti, non risultando reclami o segnalazioni in merito sia al Garante sia al titolare (art. 83, par. 2, lett. h) del Regolamento);

- l’Azienda non è destinataria di precedenti provvedimenti prescrittivi o sanzionatori relativamente allo stesso oggetto ed ha collaborato nel corso dell’attività istruttoria che l’ha vista coinvolta (art. 83, par. 2, lett. e) e f) del Regolamento);

- la circostanza che, in merito ai c.d. dati pregressi, sebbene non fosse acquisito il consenso, il paziente era informato verbalmente della possibilità di visualizzarli attraverso il dossier sanitario e che attraverso la funzione “ricerca paziente”, sebbene il paziente non fosse in carico all’autore dell’accesso, lo stesso poteva visualizzare tutto il dossier, ma accedere solo ai dati e ai documenti della unità operativa di appartenenza e solo se il paziente fosse transitato per la stessa (art. 83, par. 2, lett. k) del Regolamento).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Azienda la sanzione amministrativa del pagamento di una somma pari ad euro 15.000,00 (quindicimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante. Ciò, in considerazione della gravità della condotta contestata che coinvolge la disciplina sulla protezione dei dati personali di un numero elevato di interessati e della circostanza che tali trattamenti sono stati oggetto di uno specifico provvedimento generale adottato dal Garante fin dal 2015.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, descritti, dall’Azienda ospedaliera dei colli, Monaldi-Cotugno-CTO di Napoli per la violazione degli artt. 5, par. 1, lett. a), b), c), e) e f), par. 2, 9, 13, 25 e 32 del Regolamento e dell’art. 75 del Codice e delle citate Linee guida nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda ospedaliera dei colli, Monaldi-Cotugno-CTO, con sede in Via L. Bianchi s.n.c., Napoli, C.F. /P.IVA 06798201213, di pagare la somma di euro 15.000,00 (quindici/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

alla predetta Azienda, di pagare la predetta somma di euro 15.000,00 (quindicimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso, come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento;

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori