Il medico di famiglia è titolare del trattamento dei dati personali dei propri pazienti: ecco cosa deve contenere l’informativa privacy e cosa succede se mancano le informazioni obbligatorie
Un paziente presenta un reclamo al Garante privacy contro il proprio medico di base.
Ritiene che il medico non abbia trattato correttamente i suoi dati personali perché l’informativa privacy consegnata non contiene le informazioni che il GDPR (Regolamento UE 2016/679) richiede.
Il Garante privacy ha accertato la violazione e ha adottato un’ordinanza-ingiunzione, applicando una sanzione di € 2.000,00.
Il provvedimento del 26 marzo 2026* riguarda un singolo professionista sanitario ma il principio che emerge è generale: l’informativa privacy non è un documento di stile, è un obbligo preciso, con contenuti determinati dalla legge.
La vicenda: reclamo sul rifiuto di cancellare i dati e sull’informativa incompleta
Il paziente aveva presentato un reclamo al Garante segnalando due aspetti.
Il primo riguardava il rifiuto del medico di cancellare i suoi dati personali. Il medico aveva infatti risposto che avrebbe cancellato i dati solo alla scadenza dei termini di prescrizione, sostenendo di volerli conservare in caso di contenzioso.
Il secondo riguardava l’informativa privacy consegnata ai pazienti: a giudizio del reclamante, mancavano alcune informazioni obbligatorie.
Il Garante privacy ha quindi avviato un’istruttoria su entrambi i punti.
Il rifiuto di cancellare i dati? In questo caso era giustificato
Sul primo punto, il Garante ha dato ragione al medico.
Il GDPR prevede espressamente che il diritto alla cancellazione non è assoluto. Può essere limitato quando il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria (art. 17, par. 3, lett. e GDPR). Inoltre, i dati sanitari possono essere trattati per finalità di tutela legale ai sensi dell’art. 9, par. 2, lett. f del GDPR.
Nel caso concreto, il paziente aveva segnalato il medico all’azienda sanitaria, dando avvio a un procedimento disciplinare poi archiviato. Il Garante ha quindi ritenuto legittima la conservazione dei dati in vista della possibile difesa del professionista.
Questo profilo del reclamo è stato archiviato.
Le violazioni accertate: cosa mancava nell’informativa privacy
Il secondo punto del reclamo ha avuto esito diverso.
Il Garante ha accertato che l’informativa consegnata ai pazienti era carente sotto diversi profili previsti dall’art. 13 del GDPR, tra cui:
1. destinatari dei dati non indicati (art. 13, par. 1, lett. e)
L’informativa non specificava in modo adeguato chi potesse ricevere i dati dei pazienti (ad esempio altri professionisti sanitari, strutture o enti pubblici). Il GDPR richiede l’indicazione degli eventuali destinatari oppure le eventuali categorie di destinatari.
2. Periodo di conservazione assente (art. 13, par. 2, lett. a)
Mancava qualsiasi indicazione sui tempi di conservazione o sui criteri utilizzati per determinarli.
3. Diritti degli interessati non indicati (art. 13, par. 2, lett. b)
Non venivano elencati i diritti esercitabili dall’interessato (es. accesso, rettifica, cancellazione, limitazione, opposizione, portabilità).
4. Diritto di reclamo al Garante non menzionato (art. 13, par. 2, lett. d)
L’informativa non indicava nemmeno la possibilità di proporre reclamo all’autorità di controllo, che in Italia è il Garante privacy
Le difese del medico e la decisione del Garante
Nella memoria difensiva, il medico ha evidenziato di non aver ricevuto contestazioni da altre persone pazienti e di aver provveduto ad aggiornare l’informativa privacy nel corso del procedimento.
Il Garante privacy ha tenuto conto di questi elementi, ma ha comunque ritenuto sussistenti le violazioni, in quanto oggettive e documentate.
La sanzione di € 2.000,00 (con possibilità di definizione agevolata)
Per le violazioni del GDPR sono previste sanzioni elevate (art. 83 par. 5 GDPR).
Nel caso concreto, il Garante ha irrogato una sanzione di € 2.000,00 con ordinanza-ingiunzione, tenendo conto di diversi elementi attenuanti:
- aggiornamento dell’informativa durante il procedimento
- assenza di precedenti violazioni
- collaborazione con l’Autorità
- condotta non dolosa
- limitato numero di interessati coinvolti
Il professionista può avvalersi della definizione agevolata, pagando € 1.000,00 entro 30 giorni.
È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante.
Il principio chiave: il medico è titolare del trattamento
Il provvedimento richiama un aspetto spesso sottovalutato, ma già chiarito dalla normativa: il medico di medicina generale è un titolare autonomo del trattamento dei dati personali dei/delle propri/e pazienti.
Questo comporta l’applicazione diretta di tutti gli obblighi previsti dal GDPR, tra cui:
- gestire correttamente i diritti degli interessati
- adottare misure di sicurezza adeguate
- predisporre un’informativa completa
- individuare e istruire i soggetti autorizzati al trattamento (es. collaboratori o collaboratrici)
- tenere traccia dei trattamenti fatti mediante un registro dei trattamenti
Essere un* libero professionista non riduce tali obblighi: li rende semplicemente più diretti.
Cosa deve contenere un’informativa privacy completa
Il caso offre l’occasione per ricordare i contenuti dell’informativa, richiesti dall’art. 13 GDPR:
- identità e contatti del titolare del trattamentotità e contatti del titolare del trattamento
- contatti del DPO (se presente)
- finalità e base giuridica del trattamento dei dati
- destinatari o categorie di destinatari dei dati trattati
- eventuali trasferimenti extra UE dei dati trattati
- periodo di conservazione dei dati trattati
- diritti dell’interessato, compreso quello di fare reclamo a un’Autorità di controllo
- se il conferimento dei dati personali è obbligatorio o meno
- eventuale utilizzo in processi decisionali automatizzatituale utilizzo in processi decisionali automatizzati
Indicazioni pratiche per professionisti e PMI
Questo provvedimento è utile perché mostra un punto ricorrente nella prassi: l’informativa viene trattata come un documento standard, mentre è uno degli indicatori di compliance.
Gli errori più frequenti non riguardano l’assenza totale dell’informativa, ma 3 aspetti ricorrenti:
- Informative troppo generiche
Formulazioni standardizzate che non riflettono il trattamento effettivo (es. finalità del trattamento dei dati trattati errate o inesistenti) - Conservazione dei dati lasciata in sospeso
È uno degli elementi più critici: indicazioni come “per il tempo necessario” potrebbero non essere sufficienti se non accompagnate da criteri verificabili o termini coerenti con la normativa di settore. - Diritti e garanzie trattati come clausole formali
L’indicazione dei diritti dell’interessato e del diritto di reclamo viene spesso inserita “per completezza”, ma senza una reale funzione informativa, che è invece il cuore dell’art. 13 GDPR.
La compliance non riguarda solo le grandi organizzazioni
Il provvedimento conferma che il Garante privacy interviene anche nei confronti dei/delle singoli/e professionisti/e per vigilare sul rispetto degli obblighi previsti dalla normativa.
L’informativa privacy non è un modello standard, ma un documento che deve riflettere concretamente l’attività svolta.
Può essere l’occasione per riflettere davvero sui dati trattati in un’attività e per iniziare ad avere cura anche di quest’aspetto.
Costruire una compliance adeguata non è solo un adempimento formale: è una tutela per l’attività e per i diritti delle persone.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
