NEWS

Sanzioni per violazioni della privacy nella sanità, quando è il dirigente a dover pagare di tasca propria

Alla fine il dirigente finisce nell’angolo e deve pagare la sanzione.  Il dossier sanitario poco robusto presenta il conto. Ma questa volta a pagare non è il Data Protection Officer. La Corte dei conti di Bolzano, con la sentenza n. 7/2026, lancia infatti un messaggio destinato a fare rumore nelle pubbliche amministrazioni.

La privacy non si salva con cabine di regia, regolamenti patinati e riunioni interminabili se poi nessuno mette davvero mano ai sistemi informatici.  La vicenda nasce dalla pesante sanzione da 75 mila euro inflitta dal Garante privacy all’Azienda sanitaria dell’Alto Adige per accessi abusivi al dossier sanitario elettronico. Medici e operatori sanitari formalmente autorizzati riuscivano infatti a consultare dati sanitari di pazienti estranei ai rispettivi percorsi di cura grazie ad un sistema costruito su autodichiarazioni e privo di adeguati controlli automatici sugli accessi anomali.

Una situazione che, aspetto ancora più grave, era già stata attenzionata dal Garante anni prima. E qui emerge il vero nodo della sentenza. Il problema non era l’assenza di strutture privacy, ma il fatto che quelle strutture sembravano vivere in un universo parallelo rispetto alla concreta gestione tecnica del sistema informatico. La Corte ricostruisce infatti un quadro quasi emblematico di certa pubblica amministrazione italiana: report, consulenze, regolamenti, solleciti, mail, audit programmati, richieste di implementazione, indicazioni operative, progetti privacy e persino la previsione teorica di alert automatici.

Tutto perfetto sulla carta. Peccato che gli accessi abusivi continuassero tranquillamente. Ed è proprio questo il passaggio più interessante della pronuncia. I giudici contabili prendono infatti le distanze da quella ormai diffusissima tendenza burocratica a trasformare il GDPR in un gigantesco esercizio documentale.

(Nella foto: Stefano Manzelli, Direttore di sicurezzaurbanaintegrata.it)

La sentenza chiarisce che l’accountability non coincide con la produzione seriale di atti formali ma con la concreta capacità dell’ente di impedire trattamenti illeciti. In questo quadro la posizione del DPO e della referente privacy viene completamente ridimensionata sotto il profilo della responsabilità erariale. La Corte evidenzia come tali soggetti avessero ripetutamente segnalato le criticità del dossier sanitario elettronico e richiesto interventi correttivi alla struttura informatica.

Mancava però un effettivo potere gerarchico o gestionale idoneo ad imporre l’esecuzione materiale delle modifiche tecniche necessarie.  Un passaggio molto importante perché negli ultimi anni si è assistito ad una pericolosa deformazione culturale. Ogni problema privacy finisce virtualmente sulle spalle del DPO, trasformato di fatto in una sorta di parafulmine universale dell’ente. La sentenza di Bolzano, invece, rimette ordine nei ruoli. Il DPO consiglia, segnala, monitora.

Ma se chi gestisce realmente organizzazione e sistemi informatici ignora per anni quelle segnalazioni, la responsabilità non può essere scaricata a valle sul consulente privacy di turno. Ed infatti il bersaglio principale della Corte diventa il direttore della ripartizione informatica. Secondo i giudici era proprio tale dirigente il soggetto concretamente investito dei poteri di coordinamento, supervisione e impulso necessari ad adeguare il sistema.

La motivazione è severissima. La Corte sottolinea come il dirigente informatico non possa difendersi sostenendo di non avere competenze operative dirette sui sistemi o di non essere amministratore di sistema.

Un dirigente resta infatti responsabile anche quando omette di impartire direttive, coordinare gli uffici o pretendere l’attuazione delle misure necessarie. Tradotto in termini pratici non basta inoltrare email, demandare valutazioni ai tecnici subordinati o limitarsi a convocare riunioni. Occorre assumersi la responsabilità concreta di chiudere le falle organizzative e tecnologiche. La Corte arriva così ad una conclusione molto netta. Gli accessi abusivi non sono stati causati dall’inefficacia di misure realmente implementate, ma dall’omessa adozione delle misure correttive richieste per anni dalla cabina di regia privacy.

Colpisce anche il passaggio sul direttore generale, assolto perché la struttura privacy appariva formalmente idonea e perché non emergevano elementi tali da dimostrare una piena consapevolezza delle persistenti criticità tecniche.  E qui forse emerge il vero grande tema della sentenza. Nelle organizzazioni pubbliche contemporanee il rischio non è tanto l’assenza di modelli privacy, quanto la costruzione di apparati formalmente impeccabili ma sostanzialmente incapaci di incidere davvero sulla gestione tecnologica.

Note sull'Autore

Stefano Manzelli Stefano Manzelli

Consulente privacy, divulgatore e il data protection officer. Direttore di sicurezzaurbanaintegrata.it.

Prev Direttiva NIS 2: scadenza il 30 giugno per trasmettere all'Agenzia per la Cybersicurezza Nazionale l’elenco delle attività e dei servizi svolti dalle aziende con la relativa classificazione
Next Dai commercialisti il documento “Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa”

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy