L’Autorità Garante per la protezione dei dati personali ha recentemente approvato il nuovo piano ispettivo per il primo semestre 2026 (gennaio-luglio). La delibera delinea una strategia di controllo rigorosa che punta a colpire le vulnerabilità nei database pubblici e l'uso improprio delle nuove tecnologie.
Per il settore sanitario, i punti di attenzione dell'attività ispettiva — condotta anche in collaborazione con il nucleo speciale della Guardia di Finanza — sono molteplici.
Dossier Sanitario: prosegue l'attenzione dell'Autorità
L’elemento di maggiore impatto per ospedali, cliniche e ASL è la conferma della prosecuzione delle attività di verifica sul Dossier Sanitario. Il Garante intende accertare che l’accesso ai dati clinici dei pazienti avvenga nel pieno rispetto dei principi di necessità e autorizzazione, contrastando gli accessi indebiti da parte di personale non autorizzato.
Aver implementato il Dossier in maniera facoltativa e separare il consenso per il dossier da quello per le cure mediche, infatti, non basta. È necessario che i log di accesso siano monitorati costantemente e che sia garantito l’oscuramento di singoli eventi clinici su richiesta del paziente.
Anche l’informativa privacy può essere oggetto di verifica e deve riportare non solo i contenuti richiesti dall’art. 13 GDPR ma anche le specifiche richieste dalle Linee Guida in materia di Dossier Sanitario allegate alla deliberazione del Garante del 4 giugno 2015.
Data breach e banche dati pubbliche
Il punto h) del piano ispettivo del Garante pone enfasi sulla gestione dei data breach che sono stati notificati ex art. 33 GDPR. Nel settore sanitario, dove le violazioni di dati notificate possono avere un grave impatto sull'interessato, è possibile aspettarsi una elevata soglia di attenzione dell'Autorità.
Il Garante ha poi annunciato un giro di vite sulle banche dati pubbliche di particolare rilievo. In un contesto in cui le strutture sanitarie sono sempre più bersaglio di attacchi ransomware, l'attività ispettiva si concentrerà su:
- Verifica dei sistemi di sicurezza informatica.
- Analisi dei profili di accessibilità (chi può vedere cosa).
- Misure per arginare la rivendita di informazioni riservate nel dark web.
Whistleblowing e intelligenza artificiale
Altri due temi oggetto di verifica toccano trasversalmente il settore sanitario:
- Whistleblowing: le strutture sanitarie che sono tenute a gestire le segnalazioni di illeciti devono garantire che l'identità del segnalante sia tecnicamente protetta, per questo l’attenzione dell’Autorità si concentrerà sull’esame degli applicativi software utilizzati dai whistleblower.
- Intelligenza artificiale: sebbene il focus primario della delibera riguardi l'ambito scolastico, l'attenzione del Garante sull'IA è un segnale di rilievo per le strutture che utilizzano algoritmi di diagnostica o analisi predittiva.
Cosa devono aspettarsi le strutture sanitarie?
Il piano prevede complessivamente almeno 40 accertamenti ispettivi mirati nel semestre, a cui possono ovviamente aggiungersi ispezioni d'ufficio attivate in casi di urgenza o a seguito di reclami o segnalazioni dei pazienti.
Alcuni consigli pratici
Alla luce del nuovo piano ispettivo, è opportuno:
- verificare la conformità del Dossier Sanitario alle Linee Guida del Garante e, in particolare, che solo il personale in cura del paziente possa accedervi;
- analizzare le notifiche di violazione inviate all’Autorità per assicurarsi che le misure di "remediation" siano state effettivamente implementate.
- testare la tenuta crittografica dei canali di segnalazione interna relativi al whistleblowing.
L'attività ispettiva del Garante non è mai una attività solo formale, ma entrerà nel merito della sicurezza tecnica e della verifica dell’accountability del titolare. La comunicazione tramite il piano ispettivo di quelli che potranno essere gli ambiti oggetto di verifica evita che le aziende del settore sanitario pubblico e privato possano trovarsi impreparate a dover gestire il rischio di sanzioni amministrative elevate, oltre al danno reputazionale legato alla gestione dei dati dei pazienti.