L’accelerazione digitale impressa dal PNRR e l’introduzione massiccia di intelligenza artificiale nelle strutture sanitarie pubbliche hanno creato scenari inediti di rischio che richiedono un presidio integrato tra protezione dei dati e prevenzione della corruzione.
Per questo, la collaborazione tra DPO e RPCT nel sistema sanitario diventa una necessità strategica per garantire una governance efficace dei dati personali.
Indice degli argomenti
La trasformazione digitale della sanità pubblica italiana
L’evoluzione tecnologica degli ultimi anni, accelerata dai tragici eventi pandemici prima e dall’iniezione di risorse del PNRR poi, ha impresso una svolta epocale al sistema sanitario pubblico italiano.
Tale evoluzione talora è avvenuta in carenza di norme e regole specifiche o sulla base di norme che, pur se previsto dal GDPR – Regolamento UE 2016/679, che come noto disciplina il trattamento dei dati personali, non hanno ottenuto il previo parere dell’Autorità Garante Privacy, come ad esempio è stato con il Decreto 23 maggio 2022, n. 77 “Regolamento recante la definizione di modelli e standard per lo sviluppo dell’assistenza territoriale nel Servizio sanitario nazionale”, pubblicato in Gazzetta Ufficiale n. 144 del 22 giugno 2022.
La digitalizzazione pervasiva dei processi clinici e amministrativi, l’implementazione su larga scala di sistemi di telemedicina e l’introduzione progressiva di applicazioni basate sull’intelligenza artificiale, che hanno e stanno trasformando radicalmente le modalità di erogazione delle prestazioni sanitarie e, conseguentemente, la quantità e la qualità dei dati personali di natura sanitaria prodotti, trasmessi e conservati, hanno in realtà bisogno di una progettazione e di un accompagnamento attento al rispetto delle norme vigenti.
Gli eventi degli ultimi anni hanno inoltre dato un impulso senza precedenti alla riprogettazione dell’assistenza sanitaria pubblica, un processo che per decenni è proceduto a velocità alterne e spesso in modo del tutto scoordinato tra le varie regioni italiane.
I fondi del PNRR hanno fornito il “carburante psicologico” necessario per vincere l’inerzia amministrativa, accelerando iniziative che languivano sui tavoli delle commissioni.
Tuttavia, in questa corsa verso la digitalizzazione e l’uso pervasivo dell’intelligenza artificiale, ci troviamo immersi in quella che ho definito l’era dei “cacciatori e raccoglitori di dati personali”.
Come i nostri antenati del Paleolitico raccoglievano le risorse naturali liberamente disponibili e cacciavano per procurarsi il cibo, così oggi soggetti privati raccolgono, o spesso “carpiscono”, i nostri dati più preziosi, trasformando informazioni strettamente personali in materia prima da rivendere sotto forma di servizi generando utili stellari.
Il rischio della “mungitura” dei dati sanitari pubblici
In questo scenario distopico, la sanità pubblica rischia di diventare uno stabilimento di ricovero per “mucche grasse da dati” dove i dati presenti sui dispositivi medici connessi vengono munti gratuitamente in cambio di contropartite di scarso valore, portando il valore economico del dato lontano dal controllo dell’ente pubblico che lo ha generato.
In questo scenario complesso e in rapida evoluzione, due figure professionali assumono un ruolo strategico nella governance degli enti del Servizio Sanitario Nazionale:
-il Responsabile per la Protezione dei Dati personali (RPD o Data Protection Officer o DPO), ai sensi del Regolamento (UE) 2016/679 (di seguito Regolamento);
-il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT), istituito dalla Legge 6 novembre 2012, n. 190.
Sebbene queste due funzioni rispondano a normative differenti e perseguano obiettivi e normative apparentemente distinti, l’analisi sostanziale delle rispettive attribuzioni rivela una convergenza operativa che, se adeguatamente valorizzata da titolari del trattamento lungimiranti, può costituire un presidio fondamentale per la legalità e la correttezza dell’azione amministrativa in ambito sanitario.
Privacy e trasparenza nella casa di vetro sanitaria
Il concetto di privacy come “diritto a essere lasciati soli” è ormai anacronistico e fuorviante.
Come insegnava già in tempi remoti Stefano Rodotà, la nostra esistenza si svolge in una “casa di vetro”.
In un azienda sanitaria questa trasparenza non è solo un obiettivo amministrativo di legalità (presidiato dal RPCT), ma deve coesistere con la protezione intrinseca del dato (presidiata dal DPO).
Il quadro normativo di riferimento
Il DPO, figura delineata dagli articoli 37-39 del Regolamento suindicato svolge, come noto, funzioni di informazione, consulenza e sorveglianza sull’osservanza della normativa europea in materia di protezione dei dati personali, costituendo altresì il punto di contatto con l’Autorità Garante e il riferimento diretto degli interessati per l’esercizio dei diritti loro riconosciuti.
Il RPCT, invece, è il soggetto preposto alla predisposizione e all’attuazione del Piano Triennale di Prevenzione della Corruzione e della Trasparenza, nonché alla vigilanza sul rispetto degli obblighi di pubblicazione in materia di trasparenza previsti dal D.Lgs. 14 marzo 2013, n. 33.
Il Piano Nazionale Anticorruzione del 2022, adottato con Delibera n. 7 del 17 gennaio 2023 da ANAC, affronta però esplicitamente la relazione tra queste due figure, precisando che «per le questioni di carattere generale riguardanti la protezione dei dati personali, il DPO costituisce una figura di riferimento anche per il RPCT, anche se naturalmente non può sostituirsi ad esso nell’esercizio delle funzioni».
L’ANAC con l’occasione ha inoltre chiarito che, sebbene le due figure non possano in via generale coincidere per evitare limitazioni all’effettività delle rispettive funzioni, visto il disposto in materia di possibili conflitti di interesse di cui al paragrafo 6 dell’articolo 38 del Regolamento, è essenziale che queste comunque operino in un rapporto di «collaborazione interna fra gli uffici».
Complementarietà tra trasparenza e protezione dati
Si tratta di un’indicazione di grande rilevanza pratica, che riconosce come la tutela della trasparenza amministrativa e la protezione dei dati personali non siano valori in conflitto, ma dimensioni complementari di un più ampio sistema di garanzie a presidio dei diritti dei cittadini e della piena legalità dell’azione pubblica.
L’inevitabile convergenza operativa nell’era dell’intelligenza artificiale
L’introduzione di sistemi di intelligenza artificiale nel contesto sanitario rende ancora più evidente la necessità di un approccio integrato tra le funzioni del DPO e del RPCT.
L’AI Act (Regolamento UE 2024/1689), che classifica i sistemi di IA in ambito sanitario tra quelli ad alto rischio, impone al titolare del trattamento l’adozione di misure rigorose per poter assicurare, dando seguito al generale principio di accountability o di responsabilizzazione di cui al paragrafo 2 dell’articolo 5 e dell’articolo 24 del Regolamento, in materia di trasparenza, tracciabilità e governance dei dati che intersecano le competenze di entrambe le figure.
Dispositivi medici connessi e vulnerabilità critiche
I dispositivi medici connessi in rete, che costituiscono le vere e proprie «mucche da dati» dell’ecosistema sanitario, producono quotidianamente enormi quantità di dati personali di natura particolare ai sensi dell’art. 9 del GDPR, sui cui possibili diritti di sfruttamento incidono anche il Data Act (Regolamento UE 2023/2854), entrato in vigore a settembre 2025, che garantisce l’accesso e la condivisione dei dati generati da questi prodotti, e la Direttiva RED (Radio Equipment Directive) (2014/53/UE), rafforzata da un regolamento delegato del 2022, che impone stringenti requisiti di cybersecurity “by design” per i dispositivi wireless e connessi a partire da agosto 2025.
L’indagine condotta da Cynerio nel 2022 ha evidenziato che il 53% dei dispositivi medici connessi presenta almeno una vulnerabilità critica nota, mentre il 30% delle pompe di infusione è viziato da falle che potrebbero compromettere la sicurezza del paziente e la riservatezza dei suoi dati.
A tre anni di distanza la situazione non è molto migliorata.
Integrazione tra DPIA e valutazione del rischio corruttivo
In questo contesto, la valutazione d’impatto sui trattamenti di dati personali (DPIA), prevista dall’art. 35 del Regolamento, e la valutazione del rischio corruttivo, anche attraverso l’analisi delle formule indicate nei contratti stipulati tra le aziende sanitarie e i fornitori dei dispositivi, disciplinata dalla normativa anticorruzione, condividono la medesima metodologia di risk assessment e possono essere utilmente integrate in un approccio olistico alla compliance aziendale.
Entrambe le valutazioni richiedono l’identificazione dei processi critici, l’analisi delle vulnerabilità, la definizione di misure di mitigazione e il monitoraggio continuo secondo il ciclo del miglioramento di Deming.
La Direttiva NIS 2 e gli obblighi ACN: un ulteriore elemento di convergenza
L’entrata in vigore della Direttiva (UE) 2022/2555, nota come NIS 2, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, introduce un ulteriore e significativo elemento di convergenza tra le funzioni del DPO e del RPCT.
Gli enti del Servizio Sanitario Nazionale, classificati come «soggetti essenziali» ai sensi dell’art. 3 del decreto, sono tenuti ad adottare misure di sicurezza informatica stringenti e a notificare al CSIRT Italia gli incidenti significativi, sotto la vigilanza dell’Agenzia per la Cybersicurezza Nazionale (ACN), designata quale Autorità nazionale competente NIS.
Misure di sicurezza e scadenze di adeguamento
La Determinazione ACN n. 164179 del 14 aprile 2025 ha definito le specifiche tecniche di base per l’adempimento degli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS, stabilendo 43 misure di sicurezza per i soggetti essenziali, declinate in 116 requisiti operativi.
Tali misure, sviluppate in accordo al Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), coprono dieci ambiti fondamentali: dalla governance della sicurezza alla gestione degli asset, dalla protezione dei dati alla risposta agli incidenti.
La tempistica di adeguamento prevede scadenze differenziate:
-entro 9 mesi dalla comunicazione di inserimento nell’elenco dei soggetti NIS scatta l’obbligo di notifica degli incidenti significativi;
-entro 18 mesi (ottobre 2026) dovrà essere completata l’adozione integrale delle misure di sicurezza di base. Gli organi di amministrazione e direttivi delle aziende sanitarie sono chiamati ad una responsabilità diretta nell’approvazione e supervisione delle misure di gestione del rischio, con obblighi di formazione specifica in materia di cybersicurezza.
La sinergia necessaria tra DPO, RPCT e Punto di Contatto NIS
È evidente come questo nuovo quadro normativo rafforzi ulteriormente la necessità di sinergia tra DPO e RPCT.
Il DPO, infatti, deve collaborare con il team di sicurezza per gestire eventuali violazioni che possano comportare anche la compromissione di dati personali, assicurandosi che le segnalazioni soddisfino i requisiti imposti sia dalla Direttiva NIS 2 sia dal Regolamento, che all’art. 33 disciplina autonomamente la notifica dei Data Breach all’Autorità Garante Privacy.
Mentre il RPCT, dal canto suo, deve vigilare affinché le procedure di gestione degli incidenti e le politiche di sicurezza siano adeguatamente documentate e trasparenti, integrando tali aspetti nella mappatura dei rischi del Piano anticorruzione.
La figura del Punto di Contatto NIS, prevista dall’art. 4 del Decreto come referente unico verso l’ACN, diviene così il naturale snodo di coordinamento tra le diverse funzioni di compliance.
Il conflitto di interessi nella ricerca sanitaria: un terreno dove la collaborazione è essenziale
L’ambiente sanitario presenta peculiarità che lo rendono particolarmente esposto al rischio di conflitto di interessi.
L’intersezione tra attività assistenziale, ricerca scientifica e interessi commerciali crea situazioni in cui il non corretto trattamento dei dati personali di salute può accompagnarsi a condotte che rilevano sotto il profilo della prevenzione della corruzione e della trasparenza.
Il caso dei comodati d’uso e la predazione dei dati
Si consideri il caso, tutt’altro che ipotetico, di possibili comodati d’uso gratuito di apparecchiature diagnostiche di ultima generazione, offerti da multinazionali del settore biomedicale.
Tali apparecchiature, connesse in rete, trasmettono i dati clinici generati verso sistemi cloud situati al di fuori dell’Unione Europea, dove vengono elaborati da algoritmi proprietari di intelligenza artificiale.
I risultati di queste elaborazioni, presentati come ausilio alla diagnostica, confluiscono in pubblicazioni scientifiche che accrescono il prestigio del fornitore e, contestualmente, orientano le scelte prescrittive verso i prodotti della medesima azienda o del gruppo farmaceutico collegato.
Dietro l’apparente vantaggio tecnologico si nascondono quindi molteplici rischi sistemico di predazione del dato: il player di mercato ottiene flussi massivi di dati sanitari per addestrare i propri algoritmi (uso secondario del dato) ed un rischio di conflitto di interessi.
La collaborazione finalizzata a pubblicazioni scientifiche può indurre una “gratitudine amministrativa” che potrebbe evidenziare con una “luce particolare” il fornitore nelle successive gare d’appalto, alterando la concorrenza e violando i principi di imparzialità tipici della prevenzione della corruzione.
Vi è inoltre il problema della vulnerabilità dei dati, che una volta usciti dal controllo dell’Ente, possono confluire in sistemi di big data dove i diritti europei di tutela delle informazioni di natura personale diventano difficilmente esercitabili.
La necessità di una visione integrata delle valutazioni
In scenari di questo tipo, il DPO deve valutare la liceità del trasferimento dei dati verso paesi terzi ai sensi del Capo V del Regolamento, verificare l’adeguatezza delle garanzie contrattuali, accertare la conformità ai principi di minimizzazione e limitazione delle finalità.
Parallelamente, il RPCT deve considerare se l’operazione possa configurare una situazione di conflitto di interessi, se sia rispettata la normativa sulle sponsorizzazioni in ambito sanitario, se sussistano obblighi di pubblicazione ai sensi del Decreto 33 del 2013 in materia di trasparenza amministrativa.
È evidente come le due valutazioni, se condotte separatamente, rischino di trascurare profili rilevanti che emergono solo da una visione integrata della fattispecie.
Dalla pura formalità alla effettiva sostanza: verso un modello integrato di compliance
Nel sistema sanitario si registra purtroppo ancora un approccio formale a norme di estrema rilevanza.
La legge Severino, (Legge 190/2012), che ha istituito l’ANAC e che è fondamentale per la prevenzione e repressione della corruzione e dell’illegalità nella Pubblica Amministrazione, risulta essere stata applicata da parte di molte aziende sanitarie a oltre un decennio dalla sua approvazione con una visione prevalentemente formale degli adempimenti e con la conseguente produzione di documenti standardizzati che non incidono sui processi organizzativi reali e che rendono poco efficace la descrizione al cittadino del reale funzionamento e determinazioni dall’amministrazione.
Le criticità applicative del GDPR e della legge anticorruzione
A più di sei anni dall’entrata in applicazione del Regolamento, tra le sue norme è di tutta evidenza la mancata valorizzazione del contributo che il RPD apporta in sistemi aziendali ad alta complessità soggetti a costante innovazione organizzativa e tecnica, come le aziende sanitarie.
A tal proposito va ricordato che il “Documento di indirizzo dell’Autorità Garante Privacy sulla designazione, posizione e compiti del RPD in ambito pubblico”, adottato con il Provvedimento n. 186 del 29 aprile 2021 e pubblicato sulla Gazzetta Ufficiale n. 132 del 4 giugno 2021, ha stigmatizzato numerose criticità nell’applicazione degli articoli 37, 38 e 39 del Regolamento da parte delle pubbliche amministrazioni, evidenziando carenze nella selezione dei DPO, nell’attribuzione delle risorse, nel coinvolgimento tempestivo nelle questioni rilevanti.
Analogamente, l’ANAC ha più volte rilevato come i Piani anticorruzione di molte amministrazioni sanitarie siano caratterizzati da genericità delle misure, inadeguatezza della mappatura dei processi, insufficiente analisi del rischio specifico del settore.
Le indicazioni fornite nel PNA 2019 sulle «specificità del settore sanitario» hanno tentato di colmare questo divario, ma la strada verso una compliance sostanziale è ancora lunga.
L’opportunità offerta dalla disciplina NIS 2
L’entrata in vigore della disciplina NIS 2, da ottobre 2024, con il suo approccio basato sul Framework Nazionale per la Cybersecurity e la Data Protection, offre comunque una preziosa occasione, quella necessaria a ripensare complessivamente il sistema di compliance aziendale.
Le misure di sicurezza richieste dall’ACN, infatti, integrano nativamente le tre dimensioni classiche della sicurezza informatica – riservatezza, integrità e disponibilità – con un approccio multi-rischio che ben si presta ad essere coordinato con la valutazione d’impatto privacy e con l’analisi del rischio corruttivo.
Protezione sostanziale contro sfruttamento improprio
Nel mondo attuale è richiesta un’applicazione sostanziale e non più formale delle regole di tutela dei diritti soggettivi, nell’ottica di un corretto bilanciamento degli interessi.
I dati personali di natura sanitaria costituiscono un patrimonio di inestimabile valore, che deve essere protetto con efficacia non solo dai rischi di violazione della riservatezza, ma anche dalle molteplici forme di sfruttamento improprio che possono derivare dalla commistione tra interessi pubblici e privati caratteristica dell’ambiente sanitario.
Conclusione: i custodi della legalità
Il livello di sicurezza complessivo di un sistema è pari a quello dell’anello più debole della sua catena.
In un’organizzazione sanitaria, DPO e RPCT rappresentano due anelli portanti.
Se lavorano separatamente, la catena è destinata a spezzarsi sotto la pressione degli interessi commerciali o dei rischi cyber.
DPO e RPCT sono quindi, a ben vedere, i custodi effettivi della legalità e della correttezza dell’azione amministrativa degli enti sanitari.
Le rispettive funzioni, lungi dal configurarsi come compartimenti stagni, costituiscono dimensioni complementari di un sistema integrato di garanzie che trova il proprio fondamento nei principi costituzionali di buon andamento e imparzialità della pubblica amministrazione, nel diritto alla protezione dei dati personali sancito dall’art. 8 della Carta di Nizza, nel diritto di accesso ai documenti riconosciuto dall’art. 42 della medesima Carta.
L’istituzione di tavoli di lavoro congiunti, la definizione di protocolli operativi condivisi, lo scambio sistematico di informazioni su questioni di interesse comune, la predisposizione coordinata delle rispettive relazioni annuali, l’integrazione tra registro dei trattamenti, mappatura dei processi a rischio corruttivo e censimento degli asset informativi rilevanti ai fini NIS: sono questi gli strumenti attraverso i quali può realizzarsi concretamente quella sinergia che la normativa prefigura e che la complessità del sistema sanitario contemporaneo rende indispensabile.
Anche l’adozione di codici di condotta, suggeriti dall’articolo 40 del GDPR, potrebbe essere lo strumento ideale per cristallizzare questa sinergia, definendo prassi condivise per la gestione del conflitto di interessi nell’era dei Big Data e dell’IA. È tempo di comprendere che proteggere il dato sanitario non significa solo rispettare una norma burocratica, ma salvaguardare la sovranità dello Stato sulle informazioni dei propri cittadini e, in ultima analisi, proteggere la loro stessa libertà.
Non si tratta di un’opzione organizzativa tra le altre, ma di una necessità imposta dall’evoluzione tecnologica e normativa. L’alternativa è la perpetuazione di un sistema di compliance frammentato, formalistico, incapace di intercettare i rischi emergenti e di tutelare efficacemente i diritti dei cittadini. Una prospettiva che né il DPO né il RPCT, nell’esercizio delle proprie funzioni di garanzia, possono responsabilmente accettare.
