Studio Legale Di Biase

Referti sanitari inviati a un destinatario errato

Dottore al computer con documenti medici

Immagine estratta dal sito https://it.freepik.com/


1. La tutela rafforzata dei dati sanitari nel contesto del GDPR

Il provvedimento del Garante per la Protezione dei Dati Personali del 18 dicembre 2025 (Registro n. 753) rappresenta un’importante occasione per ribadire i principi fondamentali in materia di protezione dei dati sanitari e sicurezza dei trattamenti nel settore healthcare. La decisione dell’Autorità, pur concludendosi con un ammonimento anziché una sanzione pecuniaria, merita un’attenta analisi per comprendere gli obblighi gravanti sugli operatori sanitari nell’era digitale.

Il Regolamento (UE) 2016/679 riserva ai dati relativi alla salute una tutela particolarmente stringente (art. 9): i dati sanitari, per loro natura, sono suscettibili di rivelare informazioni estremamente delicate sulla sfera più intima della persona, dalla presenza di patologie specifiche alle condizioni psico-fisiche, dagli stili di vita alle vulnerabilità individuali.

I dati relativi alla salute richiedono, quindi, particolare tutela, in quanto possono comportare rischi significativi per i diritti e le libertà fondamentali (discriminazione sul lavoro, stigmatizzazione sociale, ostacolo all’accesso ai servizi assicurativi, rischio di ricatti e abusi, ecc.).

2. Errore umano o carenza organizzativa?

La vicenda oggetto trae origine da un reclamo presentato da un paziente che aveva effettuato alcune analisi cliniche presso una struttura con sede a Roma. Il reclamante aveva fornito il proprio indirizzo di posta elettronica per ricevere il referto degli esami, che, tuttavia, veniva erroneamente trasmesso a un indirizzo email diverso, in quanto caratterizzato dalla variazione di una singola lettera nel nome utente.

La dinamica dell’accaduto appare, prima facie, riconducibile a un mero errore materiale: l’inversione di una “D” con una “L” nell’indirizzo di destinazione. Tuttavia, come evidenziato dall’istante attraverso servizi di verifica online, l’indirizzo email errato non era inesistente o inattivo, bensì risultava esistente e funzionante, circostanza che ha determinato l’effettiva ricezione del referto da parte di un soggetto terzo, ignoto e non legittimato.

La struttura si è difesa sostenendo che l’episodio sarebbe stato causato da un malfunzionamento tecnico verificatosi nella fase di interfacciamento tra il software gestionale dello studio e il software del laboratorio service. Tale bug informatico avrebbe impedito l’utilizzo della corretta modalità di scarico online dei referti, inducendo la struttura ad adottare una procedura alternativa – definita dalla stessa società come “non conforme” – volta tuttavia a garantire ai pazienti la celerità nella ricezione degli esiti senza doversi recare nuovamente presso la struttura.

La giustificazione offerta dalla Società solleva interrogativi significativi dal punto di vista della compliance al GDPR. Se da un lato è comprensibile l’intento di venire incontro alle esigenze degli utenti, dall’altro appare evidente come la scelta di implementare una procedura riconosciuta come non conforme costituisca di per sé una violazione degli obblighi di accountability che gravano sul titolare del trattamento (l’articolo 24 del Regolamento prescrive che il titolare metta in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento stesso, dovendo essere in grado di comprovare tale conformità).

Sennonché, la segnalazione dell’errore è pervenuta soltanto circa due mesi dopo l’accaduto, circostanza che ha reso impossibile l’adozione di misure di attenuazione immediate, quali il contatto tempestivo con il destinatario errato per sollecitare la cancellazione del documento ricevuto per errore. Tale elemento, se da un lato non esclude la responsabilità del titolare per la violazione originaria, dall’altro evidenzia l’importanza di implementare sistemi di monitoraggio e tracciamento delle comunicazioni sensibili, capaci di rilevare tempestivamente eventuali anomalie.

La Società ha altresì sottolineato come nel corpo delle email di invio dei referti fosse presente una dicitura che invitava chi ricevesse erroneamente la comunicazione ad agire in modo responsabile. Si tratta di una precauzione certamente apprezzabile, ma non sufficiente – secondo la valutazione del Garante – a compensare la mancanza di controlli preventivi sull’esattezza degli indirizzi email. Il principio cardine della data protection by design, sancito dall’articolo 25 del GDPR, impone infatti di adottare misure preventive piuttosto che affidarsi esclusivamente alla buona fede dei destinatari accidentali.

3. Le violazioni accertate

3.1. Violazione dell’articolo 5, paragrafo 1, lettera f): il principio di integrità e riservatezza

L’articolo 5, paragrafo 1, lettera f) del GDPR sancisce il principio fondamentale secondo cui i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di integrità e riservatezza).

La trasmissione del referto sanitario a un indirizzo email errato ha determinato una evidente violazione della riservatezza dei dati. Il documento, contenente informazioni sensibili relative alla salute dell’interessato, è stato reso accessibile a un soggetto terzo non legittimato, determinando così un trattamento non autorizzato. La circostanza che tale comunicazione sia avvenuta per errore, senza intento doloso, non esclude la violazione del principio in esame: il GDPR, infatti, impone ai titolari di adottare tutte le misure necessarie per prevenire anche gli errori accidentali, secondo un approccio che valorizza la dimensione preventiva della tutela.

3.2. Violazione dell’articolo 9: il trattamento illecito di categorie particolari di dati

L’articolo 9 del GDPR disciplina il trattamento delle “categorie particolari di dati personali”, tra cui rientrano espressamente i dati relativi alla salute. Il paragrafo 1 della disposizione stabilisce un divieto generale di trattamento di tali dati, salvo che ricorra una delle eccezioni tassativamente previste dal paragrafo 2. Tra queste, assumono particolare rilevanza – nel contesto sanitario – il consenso esplicito dell’interessato (lettera a), la necessità del trattamento per motivi di interesse pubblico nel settore della sanità pubblica (lettera i) e, soprattutto, la necessità del trattamento per finalità di medicina preventiva o di medicina del lavoro, diagnosi, assistenza o terapia sanitaria (lettera h).

Nel caso esaminato, il Garante ha rilevato come la trasmissione del referto a un soggetto terzo sia avvenuta “in assenza di un idoneo presupposto giuridico”. Tale affermazione merita di essere adeguatamente contestualizzata. È evidente che il trattamento iniziale dei dati sanitari del paziente da parte della Struttura – ossia l’esecuzione delle analisi e la redazione del referto – trovasse legittima base giuridica nell’articolo 9, paragrafo 2, lettera h) del GDPR, in quanto finalizzato all’erogazione di un servizio di assistenza sanitaria. Tuttavia, la comunicazione (accidentale) del referto a un terzo estraneo non poteva certamente trovare giustificazione in alcuna delle basi giuridiche previste dal Regolamento.

Questa considerazione evidenzia un aspetto cruciale: anche quando il trattamento principale è lecito, ogni singola operazione di trattamento (ivi compresa la comunicazione a terzi) deve essere sorretta da una specifica base giuridica. L’errore nella destinazione del referto ha trasformato una comunicazione lecita (al paziente) in una comunicazione illecita (al terzo ignoto), determinando così una violazione dell’articolo 9. Tale violazione assume particolare gravità proprio in considerazione della natura sensibile dei dati coinvolti, che – come già evidenziato – godono di una tutela rafforzata nell’ordinamento europeo.

3.3. Violazione dell’articolo 32: l’omessa adozione di misure di sicurezza adeguate

L’articolo 32 del GDPR impone al titolare del trattamento e al responsabile del trattamento l’obbligo di “mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Il paragrafo 1 della disposizione elenca, a titolo esemplificativo e non esaustivo, alcune misure che possono essere adottate, tra cui la pseudonimizzazione e la cifratura dei dati, la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi, e la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.

Il paragrafo 2 dell’articolo 32 precisa ulteriormente che, nella valutazione dell’adeguatezza del livello di sicurezza, si deve tenere conto in particolare dei rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Si tratta di una disposizione che impone un approccio risk-based: le misure di sicurezza devono essere commisurate al livello di rischio insito nel trattamento, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Nel caso esaminato, il Garante ha accertato che la Società non aveva adottato una specifica misura di sicurezza ritenuta essenziale nel contesto dell’invio telematico di referti sanitari: la convalida degli indirizzi email tramite apposita procedura di verifica online. Tale omissione ha consentito che il referto venisse trasmesso a un indirizzo errato, determinando così la violazione della riservatezza dei dati.

È importante sottolineare come la violazione dell’articolo 32 non consista semplicemente nell’essersi verificato un incidente di sicurezza – eventualità che può comunque accadere nonostante l’adozione di misure appropriate – bensì nella mancata implementazione preventiva di misure organizzative e tecniche idonee a minimizzare il rischio di tale incidente. In altri termini, l’errore umano nella digitazione dell’indirizzo email costituisce un rischio prevedibile e prevenibile, che avrebbe dovuto essere mitigato attraverso l’adozione di adeguati controlli automatizzati.

4. Le misure di sicurezza richieste dal Garante per l’invio di referti online

Il provvedimento in esame offre l’occasione per richiamare l’attenzione degli operatori sanitari su un documento di fondamentale importanza, spesso trascurato nella prassi: le Linee guida in tema di referti online adottate dal Garante per la Protezione dei Dati Personali il 19 novembre 2009. Tali Linee guida, pur essendo state emanate in epoca antecedente all’entrata in vigore del GDPR, mantengono piena validità e attualità, in quanto costituiscono un’applicazione concreta dei principi generali di sicurezza e riservatezza che informano l’intera disciplina della data protection.

Le Linee guida individuano diversi scenari attraverso cui può essere organizzato il servizio di consegna dei referti online, ciascuno caratterizzato da specifiche misure di sicurezza da implementare. Nel caso esaminato dal provvedimento del 18 dicembre 2025, rileva in particolare lo “scenario 2”, che contempla l’ipotesi in cui il titolare del trattamento intenda inviare copia del referto direttamente alla casella di posta elettronica dell’interessato.

Per tale scenario, le Linee guida prescrivono l’adozione di alcune cautele essenziali, tra cui:

  1. La convalida degli indirizzi email tramite apposita procedura di verifica online: si tratta della misura la cui omissione è stata specificamente contestata nel provvedimento in esame. La procedura di convalida deve essere strutturata in modo tale da garantire che l’indirizzo email fornito dall’utente sia effettivamente a lui riconducibile e che le successive comunicazioni vengano trasmesse esclusivamente a tale indirizzo verificato. Ciò può avvenire, ad esempio, attraverso l’invio di un messaggio di conferma contenente un link di attivazione sul quale l’utente deve cliccare per completare la registrazione, secondo modalità analoghe a quelle comunemente utilizzate per la registrazione su piattaforme online.
  2. L’utilizzo di tecniche di cifratura per proteggere il contenuto del referto: anche qualora il documento venga erroneamente inviato a un destinatario non legittimato, la cifratura garantisce che il contenuto non sia immediatamente leggibile. Le Linee guida suggeriscono l’utilizzo di algoritmi crittografici robusti e la trasmissione della password di decifratura attraverso un canale diverso rispetto a quello utilizzato per l’invio del documento cifrato (ad esempio, tramite SMS o attraverso il ritiro presso lo sportello).
  3. L’implementazione di sistemi di autenticazione forte: quando il referto viene reso disponibile attraverso piattaforme online accessibili tramite credenziali, è necessario adottare meccanismi di autenticazione che garantiscano l’effettiva identità dell’utente. Ciò può includere l’autenticazione a due fattori, l’utilizzo di sistemi di identità digitale (come SPID), o altre modalità che offrano un livello di sicurezza commisurato alla sensibilità dei dati.
  4. La tracciabilità degli accessi e delle operazioni: ogni accesso al referto, ogni tentativo di accesso fallito, ogni modifica o cancellazione deve essere registrato in apposite log che consentano, in caso di incidente, di ricostruire con precisione la dinamica degli eventi e di individuare eventuali anomalie.
  5. La formazione del personale: le misure tecnologiche, per quanto sofisticate, risultano inefficaci se il personale incaricato del trattamento non è adeguatamente formato. Le Linee guida sottolineano l’importanza di assicurare che tutti coloro che operano con i dati sanitari siano consapevoli dei rischi e delle procedure da seguire.

Nel caso sottoposto all’attenzione del Garante, è emerso con chiarezza che la Società non aveva implementato la procedura di convalida degli indirizzi email, affidandosi invece a una semplice digitazione manuale dell’indirizzo comunicato dall’interessato. Tale approccio, oltre a violare le indicazioni contenute nelle Linee guida, si è rivelato inidoneo a prevenire l’errore umano – circostanza del tutto prevedibile e, quindi, evitabile attraverso l’adozione di adeguati controlli automatizzati.

5. Le conseguenze e gli insegnamenti per gli operatori sanitari

5.1. Implicazioni pratiche per le strutture sanitarie

La compliance al GDPR non può essere sacrificata sull’altare dell’efficienza operativa. Come evidenziato dal caso, la scelta di adottare procedure semplificate per venire incontro alle esigenze di tempestività dei pazienti non giustifica la rinuncia alle misure di sicurezza prescritte dalla normativa. I titolari del trattamento devono investire risorse adeguate – in termini di tecnologia, organizzazione e formazione – per garantire che i servizi digitali siano strutturati nel rispetto dei principi di data protection by design e by default.

Gli incidenti di sicurezza non sono mai soltanto “errori umani”. Dietro ogni errore si cela una carenza organizzativa o tecnologica che ha consentito che quell’errore si verificasse. L’approccio corretto non consiste nel rimproverare l’operatore che ha digitato male un indirizzo email, bensì nell’interrogarsi sulle ragioni per cui il sistema non ha impedito che un indirizzo non validato potesse essere utilizzato per l’invio di documenti sensibili.

La formazione del personale è essenziale ma non sufficiente. Come correttamente sottolineato dalla Struttura nelle memorie difensive, era stato organizzato un corso di formazione sulla privacy. Tuttavia, la formazione produce effetti duraturi solo se accompagnata dall’implementazione di procedure chiare, di sistemi tecnologici robusti e di una cultura organizzativa orientata alla protezione dei dati.

Il Principio di accountability impone un approccio proattivo. Non è sufficiente intervenire dopo che si è verificato un incidente; è necessario anticipare i possibili rischi e adottare preventivamente tutte le misure idonee a mitigarli. Nel caso dei referti online, ciò significa implementare sin dall’inizio procedure di convalida degli indirizzi, sistemi di cifratura, meccanismi di autenticazione forte e tutte le altre misure indicate dalle Linee guida del Garante.

Infine, la gestione delle violazioni richiede tempestività. Come emerso dalla vicenda, il ritardo di due mesi nella segnalazione dell’errore ha impedito di adottare misure di attenuazione efficaci. Ciò evidenzia l’importanza di implementare sistemi di monitoraggio che consentano di rilevare tempestivamente le anomalie e di attivare immediatamente le procedure previste dall’articolo 33 del GDPR in materia di notifica delle violazioni all’Autorità e, ove necessario, di comunicazione agli interessati.

5.2. La notifica delle violazioni di dati personali (data breach)

Sebbene il provvedimento non menzioni espressamente l’adempimento degli obblighi di cui all’articolo 33 del GDPR, è opportuno ricordare che la trasmissione errata di un referto sanitario a un terzo non autorizzato configura, in linea di principio, una violazione di dati personali (data breach) che dovrebbe essere notificata al Garante entro 72 ore dal momento in cui il titolare ne viene a conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Nel caso di specie, considerata la natura particolarmente sensibile dei dati coinvolti (dati relativi alla salute) e la circostanza che il referto sia stato effettivamente ricevuto da un terzo ignoto, appare difficile sostenere che la violazione fosse priva di rischi per l’interessato (circostanza che escluderebbe l’obbligo di notifica). Conseguentemente, la Società avrebbe dovuto procedere alla notifica al Garante secondo le modalità e nei termini prescritti dal Regolamento.

5.3. Le best practices per la gestione sicura dei referti online

Alla luce del provvedimento analizzato e delle Linee guida del Garante, è possibile delineare un quadro di best practices che le strutture sanitarie dovrebbero adottare per la gestione in sicurezza dei referti online:

  1. Implementare una procedura di registrazione e convalida degli utenti che preveda la verifica dell’indirizzo email attraverso l’invio di un messaggio di conferma con link di attivazione. Solo dopo il completamento della procedura di convalida l’indirizzo dovrebbe essere utilizzabile per l’invio dei referti.
  2. Adottare sistemi di cifratura end-to-end per la protezione dei documenti contenenti dati sanitari, con trasmissione delle credenziali di decifratura attraverso canali alternativi rispetto a quello utilizzato per l’invio del documento cifrato.
  3. Preferire, ove possibile, la messa a disposizione dei referti attraverso piattaforme online sicure piuttosto che l’invio diretto via email. L’utente dovrebbe ricevere una notifica (priva di dati sensibili) che lo informa della disponibilità del referto e dovrebbe accedere alla piattaforma utilizzando credenziali di autenticazione forte.
  4. Implementare sistemi di logging e tracciabilità che registrino ogni operazione di accesso, visualizzazione, scaricamento o invio dei referti, al fine di consentire verifiche successive e di individuare tempestivamente eventuali anomalie.
  5. Formare sistematicamente il personale non solo sui principi generali della protezione dei dati, ma anche sulle procedure operative specifiche da seguire nella gestione dei referti online, con particolare attenzione ai controlli da effettuare prima di ogni invio.
  6. Effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) ai sensi dell’articolo 35 del GDPR quando si introducono nuove modalità di trattamento dei dati sanitari, al fine di identificare preventivamente i rischi e individuare le misure appropriate per mitigarli.
  7. Predisporre procedure documentate per la gestione degli incidenti di sicurezza che definiscano ruoli, responsabilità e tempi di reazione in caso di data breach, al fine di garantire la tempestiva notifica al Garante e, ove necessario, la comunicazione agli interessati.
  8. Effettuare verifiche periodiche dell’efficacia delle misure di sicurezza implementate, attraverso audit interni o affidando a professionisti esterni la valutazione del livello di compliance della struttura alla normativa sulla protezione dei dati.
  9. Mantenere aggiornata la documentazione di compliance, tra cui il registro dei trattamenti (art. 30 GDPR), le nomine degli eventuali responsabili del trattamento, le designazioni degli incaricati, le valutazioni d’impatto e le evidenze delle attività di formazione del personale.
  10. Considerare la nomina di un Data Protection Officer (DPO), anche nei casi in cui tale figura non sia obbligatoria ai sensi dell’articolo 37 del GDPR, al fine di disporre di un punto di riferimento qualificato per tutte le questioni attinenti alla protezione dei dati.

5.4. Il ruolo della tecnologia nella prevenzione delle violazioni

Il caso esaminato evidenzia come la tecnologia possa svolgere un ruolo fondamentale nella prevenzione delle violazioni della privacy. L’errore di digitazione che ha determinato l’invio del referto a un destinatario sbagliato avrebbe potuto essere facilmente evitato attraverso l’implementazione di sistemi automatizzati di verifica e validazione.

Le moderne piattaforme di gestione dei referti online offrono numerose funzionalità che consentono di minimizzare i rischi. L’investimento in soluzioni tecnologiche appropriate non costituisce un mero costo, bensì una componente essenziale della strategia di risk management della struttura sanitaria. Le conseguenze reputazionali, legali ed economiche derivanti da una violazione della privacy possono infatti risultare di gran lunga superiori ai costi necessari per implementare adeguati sistemi di sicurezza.

5.5. Conclusioni

Il provvedimento del Garante del 18 dicembre 2025 costituisce un importante richiamo all’attenzione per tutti gli operatori sanitari che gestiscono dati personali, in particolare dati relativi alla salute. Pur essendosi concluso con un ammonimento anziché con una sanzione pecuniaria, il caso evidenzia come anche episodi apparentemente marginali possano integrare violazioni significative del GDPR quando derivano dalla mancata implementazione delle misure di sicurezza prescritte dalla normativa.

La tutela dei dati sanitari rappresenta una priorità assoluta nell’ordinamento europeo, in considerazione della particolare sensibilità di tali informazioni e dei rischi che una loro diffusione non autorizzata può comportare per i diritti e le libertà fondamentali degli interessati.

Il principio di accountability, che costituisce uno dei pilastri del GDPR, impone ai titolari del trattamento di adottare un approccio proattivo, anticipando i possibili rischi e adottando preventivamente le misure appropriate. Non è sufficiente intervenire dopo che si è verificato un incidente; è necessario strutturare ab origine i processi in modo tale da minimizzare la probabilità che gli incidenti si verifichino.


CHIEDI UN ESAME GRATUITO DEL TUO CASO

ARTICOLI DAL BLOG

Avvocato Lucio Di Biase

Lucio Di Biase

Avvocato

Telefono: +39 335 325917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti anni l’Avv. Lucio Di Biase ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i più comuni problemi legali, prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso, su tutto il territorio nazionale.
Dal 2014 al 2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.
E’ autore di articoli di approfondimento giuridico pubblicati sul sito dello Studio, con particolare attenzione ai temi della privacy, dell’intelligenza artificiale e dell’evoluzione normativa.

Accesso agli atti amministrativi Accountability GDPR AI Act base giuridica trattamento Caratteristiche del bene locato Codice Privacy Colleghi di lavoro Compliance GDPR controlli a distanza lavoratori Controllo dipendenti Cyberbullismo; Danni da cose in custodia Dati sanitari Deepfake Deepfake; Divorzio Foto bambini online Garante privacy GDPR Informativa privacy Intelligenza Artificiale (AI) licenziamento Mantenimento del figlio maggiorenne Minimizzazione dei dati personali Minorenni Privacy dei bambini Protezione dei dati Pubblica Amministrazione Responsabile Protezione Dati (RPD) Responsabilità medica Revenge Porn Rischi AI Separazione Sharenting Sinistri stradali Social Media Statuto dei Lavoratori Statuto dei lavoratori e privacy Telecamere Trattamento dei dati e consenso Trattamento dei dati personali Trattamento dei dati personali; e-mail; valutazione d'impatto DPIA Videosorveglianza Volenza Digitale