Perché la compliance non può aspettare le emergenze
Una cartella clinica viene smarrita, nessuno presenta la denuncia né avvisa il Garante privacy.
Il caso della casa di cura di cui ti raccontiamo in questo articolo dimostra che procedure chiare e coordinamento interno non sono optional, ma strumenti concreti per evitare sanzioni, contenziosi e danni reputazionali.
Investire in compliance preventiva costa sempre meno che gestire l'emergenza.
Un caso che ci insegna: quando mancano procedure e coordinamento interno
A marzo 2025 il Garante privacy ha sanzionato* una casa di cura privata per lo smarrimento di una cartella clinica e per non aver notificato tempestivamente la violazione dei dati personali, come previsto dall'articolo 33 del GDPR.
La sanzione è stata un ammonimento formale. Ma il costo reale per la struttura sanitaria è stato ben più elevato: procedure giudiziarie, ricerche che hanno richiesto grande dispendio di tempo e risorse, reputazione compromessa e la scoperta di criticità organizzative.
La compliance non si improvvisa di fronte all'emergenza, ma si costruisce con procedure chiare, formazione del personale e coordinamento tra tutti i soggetti coinvolti nel trattamento dei dati.
La vicenda: una cartella clinica sparita nel nulla
Nel corso di un'indagine, la Guardia di Finanza richiede a una casa di cura di esibire la cartella clinica di una paziente ricoverata alcuni anni prima.
La casa di cura avvia le ricerche, ma la cartella non viene trovata. Non è presente negli archivi interni e non risulta consegnata alla società esterna incaricata della conservazione.
Eppure esistono tracce documentali che dimostrano la regolare compilazione della cartella: referti di esami e scheda di dimissione ospedaliera con tutte le codifiche delle prestazioni erogate. Ma la cartella completa risulta irreperibile.
Tra l’altro passano otto mesi dal primo accesso della Guardia di Finanza prima che la casa di cura presenti denuncia formale di smarrimento e, soprattutto, non viene mai effettuata la notifica al Garante privacy come richiesto dal GDPR.
Le violazioni accertate dal Garante
Il Garante ha contestato alla casa di cura tre violazioni fondamentali:
1. violazione dell'obbligo di sicurezza (art. 32 GDPR): lo smarrimento dimostra che le misure tecniche e organizzative adottate non erano adeguate a garantire l'integrità e la disponibilità dei dati
2. violazione dei principi di integrità, riservatezza e responsabilizzazione (art. 5 GDPR): la perdita di una cartella clinica contrasta con l'obbligo di trattare i dati in modo da garantirne la sicurezza
3. mancata notifica della violazione (art. 33 GDPR): la casa di cura non ha comunicato al Garante la violazione entro le 72 ore previste dalla normativa, né ha documentato le ragioni per cui riteneva che la violazione non presentasse rischi per i diritti dell'interessata.
Le cause: quando l'organizzazione interna presenta criticità
Durante le indagini sono emersi problemi strutturali e organizzativi che avevano reso possibile lo smarrimento:
1. Lacune nella comunicazione interna
La Casa di Cura ha sostenuto che la situazione di stress dovuta all'indagine penale ha creato una "asimmetria comunicativa" tra gli uffici. In pratica: nessuno ha informato il Data Protection Officer (DPO) dello smarrimento né ha considerato gli obblighi previsti dal GDPR.
2. Procedure di consegna inadeguate
Le cartelle cliniche venivano inserite in scatole sigillate con l'indicazione dei numeri e consegnate alla società esterna responsabile dell'archiviazione. Tuttavia:
- non esisteva un sistema di tracciatura del materiale consegnato
- il fornitore esterno non inviava il file di riscontro previsto dal contratto
- nessuna persona verificava la corrispondenza tra quanto dichiarato sulle scatole e il contenuto effettivo
3. Transizione organizzativa in corso
Lo smarrimento era avvenuto durante un cambio di gestione della casa di cura e in un momento di transizione anche per il fornitore esterno. Una fase critica in cui le procedure non erano ancora consolidate.
Il nodo della responsabilità: titolare vs. responsabile del trattamento
La Casa di Cura ha tentato di attribuire la responsabilità sulla società esterna che gestiva l'archiviazione. Ma il Garante è stato chiaro nel ribadire un principio consolidato: la responsabilità generale resta sempre del titolare del trattamento.
Anche quando si affidano attività a fornitori esterni (responsabili del trattamento ai sensi dell'art. 28 GDPR), il titolare deve:
- verificare che il responsabile offra garanzie sufficienti (competenza, affidabilità, risorse)
- stipulare un contratto scritto (o altro atto giuridico vincolante) che contenga alcune previsioni fondamentali
- vigilare sul suo operato
- mantenere il controllo complessivo sul trattamento
- assicurarsi che esistano procedure di coordinamento efficaci
- verificare periodicamente il rispetto degli obblighi contrattuali
Nel caso specifico, la società ha dichiarato di non aver mai ricevuto quella cartella clinica, smentendo le ricostruzioni della casa di cura.
I rimedi: l’importanza della tempestività
Dopo l'intervento del Garante, la casa di cura ha implementato:
- una procedura specifica per la gestione di incidenti e data breach
- un registro per documentare tutte le violazioni
- un modulo di segnalazione standardizzato per il personale
- percorsi di formazione e sensibilizzazione per tutti i soggetti coinvolti
Misure necessarie e corrette, ma adotatte quando il danno era ormai fatto.
Perché il Garante ha "solo" ammonito?
Nonostante le violazioni accertate, il Garante ha applicato un ammonimento (art. 58, par. 2, lett. b GDPR) anziché una sanzione pecuniaria.
Per quali motivi?
Il provvedimento ha tenuto conto di alcuni elementi favorevoli:
- l’episodio era isolato, non era una prassi diffusa
- la violazione è stata considerata colposa (non intenzionale)
- riguardava i dati di un solo soggetto
- la casa di cura ha collaborato con l'Autorità
- sono state adottate misure correttive concrete
Il caso è stato quindi qualificato come "violazione minore" ai sensi del Considerando 148 del GDPR.
Indicazioni operative per le organizzazioni
Per PMI, studi professionali e qualsiasi organizzazione che tratta dati personali nello svolgimento della propria attività, questa vicenda offre indicazioni concrete:
1. Nomina e coinvolgi il DPO (quando previsto o necessario)
Il Data Protection Officer (DPO), nei casi in cui la nomina è obbligatoria o è stata fatta volontariamente, deve essere informato tempestivamente di qualsiasi incidente che coinvolga dati personali.
2. Predisponi procedure chiare per la gestione dei data breach
Definisci in anticipo:
chi deve essere avvisato come valutare la gravità dell'incidente quando e come notificare al Garante quando informare gli interessati
3. Documenta ogni violazione
Il GDPR richiede di documentare ogni violazione, anche quelle non notificate. L’organizzazione deve poter dimostrare:
la dinamica dell’evento i dati coinvolti le conseguenze le ragioni della mancata notifica i rimedi adottati
4. Controlla i fornitori esterni
Quando si affidano trattamenti a soggetti esterni come responsabili del trattamento:
verifica che offrano garanzie adeguate definisci obblighi contrattuali precisi implementa sistemi di tracciabilità e riscontro effettua controlli periodici
5. Gestisci con attenzione le fasi di transizione
Cambi di gestione, passaggi di consegne, riorganizzazioni interne: sono i momenti in cui aumenta il rischio di errori e perdite. Richiedono una pianificazione accurata e un monitoraggio costante.
La compliance è uno strumento di prevenzione
Questo caso ci dimostra che la compliance non è un adempimento burocratico, ma un sistema di protezione concreto per evitare problemi più gravi.
Una violazione dei dati personali può comportare:
- sanzioni (molto spesso anche economiche e rilevanti)
- danni reputazionali significativi
- controversie legali
- perdita di fiducia da parte di clienti e pazienti
Investire nella costruzione di un sistema di compliance solido e funzionale rappresenta quindi una scelta strategica per tutelare l'organizzazione.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
