Il tema del DPO in sanità e nella ricerca clinica mette in luce una contraddizione sempre più evidente: a fronte di obblighi privacy complessi, le aziende sanitarie dispongono spesso di risorse limitate per rendere effettive DPIA, controlli e garanzie sui dati dei pazienti.
Questa distanza tra ciò che la norma richiede e ciò che le organizzazioni riescono davvero a sostenere richiama un’immagine antica, ma ancora sorprendentemente attuale.
Indice degli argomenti
Dalla torre di Babele alla privacy sanitaria: il rischio di costruire senza basi solide
C’è un dipinto di Pieter Bruegel il Vecchio, “La torre di Babele”, che da cinque secoli rappresenta l’esito inevitabile di ogni impresa concepita senza proporzione tra ambizione e risorse.
Chi osserva quel cantiere monumentale — operai che si affannano su impalcature sempre più precarie, mentre i piani superiori già cedono sotto il peso della crescita incontrollata — non può non pensare a quanto accade oggi in ambito sanitario relativamente al contesto delle attività di ricerca clinica, dove l’edificio normativo della protezione dei dati si erge maestoso nei princìpi, ma poggia su fondamenta operative inadeguate.
Il tema riguarda una delle contraddizioni più acute dell’assetto regolatorio dei dati in sanità: la gestione nelle aziende sanitarie delle procedure legate alla protezione dei dati in ambito di ricerca clinica, tra le quali l’elaborazione della DPIA per ciascuno studio clinico, in un contesto nel quale le risorse destinate al RPD (responsabile della protezione dei dati o DPO) sono talmente esigue da rendere tale adempimento, nella maggior parte dei casi, una finzione documentale.
Il quadro normativo della DPIA nella ricerca clinica
Il quadro normativo: dal vecchio articolo 110 del Codice Privacy a quello successivo alla riforma del 2024
Il cuore del quadro giuridico di specifico riferimento è quello dell‘articolo 110 del Decreto Legislativo 196/2003, riformato dal Decreto Legislativo 101/2018 e più noto come Codice Privacy, è stato ed è ancora oggetto di una serie di analisi ed approfondimento nella sua portata.
Per comprendere la portata del problema, occorre ricostruire l’evoluzione normativa, partendo dal fatto che la versione in essere fino ad inizio 2024, nel ribadire che la base giuridica ordinaria per il riuso a fini di ricerca clinica di dati di salute precedentemente acquisiti dalle aziende sanitarie per fini di diagnosi e cura fosse il consenso, subordinava la possibilità di trattare tali dati senza consenso a tre condizioni cumulative: il parere favorevole del Comitato Etico, l’elaborazione di una DPIA o valutazione di impatto e la consultazione preventiva dell’Autorità Garante Privacy, istituti previsti dagli articoli 35 e 36 del Regolamento UE 2016/679 (di seguito Regolamento).
La necessità di ricorrere alla consultazione preventiva era evidente nell’ipotesi tipica degli studi retrospettivi, dove i pazienti possono spesso essere deceduti o irreperibili, ma tale strumento è stato utilizzato dai titolari del trattamento in un numero estremamente limitato di casi, posto che il sito dell’Autorità ne evidenzia solo 40 nell’arco di circa 15 anni.
Se ne deduce che l’obbligo di rivolgersi al Garante per ottenere l’autorizzazione ad avviare lo studio clinico fosse stato in generale del tutto disatteso, in un contesto dove le iniziative di studio e ricerca clinica sono quindi state in gran parte avviate senza procedere alla completa soddisfazione degli adempimenti specifici previsti dalle norme in materia di protezione dei dati personali.
La Legge 56 del 2024 di conversione del decreto-legge 19/2024 (“Decreto PNRR 4”), ha successivamente eliminato questo obbligo, allineando l’Italia al resto d’Europa e dando concretezza al favor per la ricerca scientifica che il Regolamento manifesta nei suoi artt. 5, par. 1, lett. b), 9, par. 2, lett. j) e 89.
Restano tuttavia i due pilastri fondamentali del percorso di attivazione degli studi clinici, il parere del Comitato Etico e il rispetto delle garanzie individuate dal Garante attraverso le Regole deontologiche (Provvedimento n. 289/2024).
In questo contesto, i Comitati Etici hanno assunto un ruolo sempre più importante nella valutazione della conformità alla normativa sulla protezione dei dati, richiedendo sistematicamente l’elaborazione di una DPIA per ogni studio clinico, anche di natura retrospettiva e la sua pubblicazione sul sito web istituzionale, come forma di trasparenza verso gli interessati ai sensi dell’art. 14, par. 5, lett. b) del Regolamento.
La DPIA come simulacro: il problema della genericità
Chiunque abbia esaminato le DPIA pubblicate sui siti web delle aziende sanitarie italiane — e chi scrive ne ha viste una serie — non può che constatare una realtà scomoda: la stragrande maggioranza di queste sono elaborati più che generici, modelli precompilati adattati con minime variazioni da uno Studio clinico all’altro e privi di alcuna reale analisi dei rischi effettivi dello specifico studio al quale sono collegati.
Sono quindi documenti che riportano formule standardizzate sulla pseudonimizzazione, sulla limitazione degli accessi, sulla conservazione temporanea, tutti elementi corretti in astratto, ma privi di quella “sartorialità” che il principio di accountability pretende.
Una DPIA autentica dovrebbe al contrario analizzare la specificità del Protocollo, valutare il contesto concreto del trattamento, identificare i rischi effettivi in relazione alla tipologia di dati, al numero di soggetti coinvolti, alla presenza di sponsor commerciali e alle implicazioni di eventuali trasferimenti extra-UE.
Si osserva pertanto l’adozione di un meccanismo di adempimento formale che soddisfa la lettera della norma ma ne tradisce pienamente lo spirito.
Come indicato dall’Autorità nella specifica sezione del sito web, le linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) precisano che “…la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento”.
È pertanto un adempimento strategico perché il titolare tenga sotto controllo qualunque trattamento di dati, se ben fatta.
L’insostenibilità quantitativa: cinquecento studi all’anno
Il nodo della questione affrontata dagli autori risiede nei numeri delle DPIA, alla luce della specifica complessità organizzativa del proprio settore operativo di riferimento, quello sanitario, alla luce del disposto dell’articolo 35 del Regolamento, che individua i casi in cui la DPIA deve essere elaborata e del disposto del Provvedimento n. 467 dell’11 ottobre 2018, con cui l’Autorità Garante individua le 12 “…tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”.
Alla luce di tale contesto normativo in ambito sanitario la DPIA è un adempimento necessario per ogni trattamento di dati, in particolare di quelli relativi alla salute, core business di ogni azienda, pubblica o privata, del settore.
Pertanto già se ne deduce che nelle aziende sanitarie l’elaborazione della DPIA è un adempimento particolarmente oneroso e il supporto metodologico e di supervisione che il DPO è tenuto ad assicurare è un compito impegnativo, vista la numerosità dei trattamenti di dati attivi o in via di attivazione, anche alla luce delle numerose innovazioni ai processi organizzativi di riferimento necessarie alla gestione, ad esempio, degli elementi che compongono la cosiddetta “sanità elettronica”, tra i quali possiamo citare anche il FSE, l’EDS, la telemedicina, la dematerializzazione del ciclo prescrittivo ed erogativo, il Dossier Sanitario, la Cartella Clinica Elettronica…….
Ma quando andiamo a considerare l’impegno necessario per tutti gli attori coinvolti nella gestione delle DPIA in ambito di studio e ricerca clinica i numeri delle valutazioni di impatto da gestire sono in tutta evidenza insostenibili da presidiare per il DPO.
Un’azienda sanitaria di medie dimensioni, che sia un’Azienda Sanitaria Territoriale, un IRCCS o un’Azienda Ospedaliero-Universitaria, conduce infatti diverse centinaia di studi osservazionali, in particolare di tipo retrospettivo all’anno, dato verificabile attraverso i registri dei Comitati Etici.
Il DPO, che secondo le Linee Guida WP 243 deve essere coinvolto fin dalle fasi iniziali di ogni trattamento ad alto rischio e deve offrire il proprio supporto ed esprimere il proprio parere, se richiesto, sulla DPIA ai sensi dell’articolo 35, paragrafo 2, del Regolamento.
Dovrebbe dunque, e soltanto per l’ambito dello Studio e Ricerca clinica, ambito che, ricordiamo è sicuramente importante da presidiare, ma che è solo uno dei diversi contesti in cui si trova a prestare il proprio contributo lavorativo, analizzare, e fornire il relativo parere per i soli studi retrospettivi, centinaia di Valutazioni d’Impatto ogni anno, almeno 2 per ogni giorno lavorativo, ai quali si devono aggiungere le sperimentazioni interventistiche, gli studi prospettici, i progetti multicentrici e tutte le altre innumerevoli attività di trattamento dello specifico ambito che richiedono l’elaborazione della DPIA.
Ciò è palesemente insostenibile, perché il DPO in ambito sanitario non si occupa solo di ricerca, non esiste infatti il DPO dedicato della ricerca, ma per ogni azienda sanitaria esiste un solo DPO, che deve svolgere i compiti prescritti dall’articolo 39 del Regolamento relativamente a tutte le attività di trattamento svolte dall’azienda.
Per avere un parametro di confronto oggettivo: uno staff di consulenti specializzati impiega mediamente due giornate lavorative per effettuare l’analisi e la redazione della DPIA di una singola ricerca clinica, con un costo di mercato che si aggira intorno ai 1.000 euro al giorno.
Ciò significa che la sola attività di DPIA per gli studi retrospettivi di un’azienda sanitaria di medie dimensioni richiederebbe un investimento annuo di circa un milione di euro, una cifra che, posta a confronto con il compenso effettivamente riconosciuto al DPO per lo svolgimento di tutti i suoi compiti, assume contorni surreali.
Ricerche multicentriche internazionali: la complessità ignorata
Un capitolo a parte delle difficoltà operative del DPO in sanità merita la valutazione delle ricerche multicentriche internazionali, spesso promosse o co-finanziate da sponsor farmaceutici o l’introduzione nell’azienda sanitaria di dispositivi medici portatori di interessi economici significativi, talvolta mascherati dietro finalità dichiarate di pura ricerca scientifica.
In questi casi, la DPIA deve affrontare questioni di straordinaria complessità: trasferimenti di dati verso paesi terzi, adeguatezza delle garanzie ex artt. 44-49 del GDPR, valutazione delle Transfer Impact Assessments, analisi della normativa del paese importatore, verifica delle condizioni poste dalla giurisprudenza Schrems II.
Pretendere che il DPO possa da solo dedicare il tempo e le competenze necessarie a queste valutazioni significa accettare scientemente che tali valutazioni non verranno effettuate, o che verranno effettuate in modo puramente formale.
Significa, in definitiva, esporre i dati sanitari dei cittadini a rischi non valutati e non mitigati.
Il DPO in sanità: una figura ad elevatissima specializzazione
Arriviamo così al punto più paradossale dell’analisi, il confronto tra quanto la legge chiede al DPO che opera in ambito sanitario e quanto esso sia poco considerato da chi se ne avvale.
L’articolo 37 del Regolamento “Designazione del responsabile della protezione dei dati” al paragrafo 5 stabilisce che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Perché un DPO possa operare in ambito sanitario quindi deve avere una piena, dettagliata ed aggiornata conoscenza non solo della normativa, ma anche delle pratiche in materia di protezione dei dati nello specifico settore.
Ma il DPO che opera in sanità non è un DPO qualsiasi, ma un professionista davvero preziosissimo, visto quanto richiesto dall’articolo suindicato, che deve avere molte più competenze di quanto possa sembrare.
Il settore sanitario, come è più che evidente, è infatti il settore più complesso dove il DPO possa andare a prestare la sua opera, vista l’incessante stratificazione normativa, la delicatezza dei dati trattati, la trasversalità e articolazione delle attività di trattamento e la loro costante innovazione.
Per quanto poi riguarda l’ambito dello studio e ricerca solo gli addetti allo specifico ambito possono confermare la molteplicità di direttive da prendere in considerazione e la variabilità di tipologie di studio e ricerca.
Arriviamo così al punto più doloroso dell’intera questione; se il DPO della sanità non è un DPO qualunque, ma un DPO più specializzato di altri, spesso i suoi compensi non sono in alcun modo comparabili a quelli di professionisti diversi, anche di natura più trasversale.
Da una semplice ricerca online emerge infatti a questo proposito che, ad esempio un Consulente legale o un avvocato può ambire ad un compenso orario che può andare da 80 sino a 800 Euro, un Consulente manageriale e strategico da 100 a 1.000 Euro, un Consulente IT e cybersicurezza, o Esperto NIS2 o ISO 27001 da 80 a 300 Euro, un Commercialista, consulente fiscale o Revisore contabile da 100 a 200 Euro, un Consulente HR o formatore da 80 a 250 Euro.
Per il DPO in ambito sanitario la retribuzione, che spesso non viene misurata in relazione all’impegno profuso, ma retribuita “a corpo” non è, in via generale, commisurata alla elevatissima specializzazione che gli viene richiesta.
Come documentato in più occasioni dalla stampa specializzata, il mercato del valore del servizio del DPO nella pubblica amministrazione è stato fin dall’inizio caratterizzato da una corsa al massimo ribasso che ha prodotto nel tempo esiti devastanti, che si ripercuotono sulla qualità del servizio poi erogato.
Su Agenda Digitale si è evidenziato come in moltissimi casi i compensi offerti nei bandi di gara pubblici si collochino addirittura al di sotto dei mille euro annui, e come questa dinamica abbia generato il fenomeno dei “collezionisti di incarichi”, professionisti costretti ad accumulare decine di nomine per raggiungere un reddito dignitoso, con l’inevitabile conseguenza di non poter dedicare a nessun titolare il tempo e l’attenzione che la complessità del ruolo esigerebbe e di non poter mantenere nel tempo la competenza specialistica che dovrebbe avere.
Il quadro diventa particolarmente allarmante quando si consideri che organizzazioni complesse come ospedali di ampie dimensioni, ASL e aziende universitarie ricorrono talvolta a DPO privi di competenze adeguate che sono retribuiti con poche centinaia di euro al mese, localizzati geograficamente anche a centinaia di chilometri dalla sede operativa.
Come è stato osservato con efficace pragmatismo, basta un semplice calcolo del rapporto tra il costo orario di un professionista adeguatamente qualificato come quelli succitati e il compenso mensile pattuito per comprendere che le ore effettivamente dedicabili all’incarico senza andare in perdita sono del tutto insufficienti a garantire un servizio reale.
Questa situazione è il prodotto di una mentalità diffusa tra i titolari del trattamento, Direttori Generali, Direttori Amministrativi, organi di vertice delle aziende sanitarie, che percepiscono il DPO non già come un facilitatore e un miglioratore della qualità dei processi, ma come un’ennesima figura burocratica imposta dalla normativa europea, un costo da minimizzare, un impedimento operativo da neutralizzare.
È la stessa logica che porta a considerare la protezione dei dati personali come un mero onere aggiuntivo anziché come un elemento costitutivo della qualità dell’assistenza sanitaria e della ricerca scientifica.
L’indipendenza tradita: dalla norma alla prassi
Il provvedimento n. 802 del 19 dicembre 2024 del Garante, che ha sanzionato un titolare per 70.000 euro per violazione del principio di indipendenza del DPO, rappresenta un segnale importante ma ancora isolato.
L’art. 38 del Regolamento è cristallino nel prescrivere che il titolare è tenuto a mettere a disposizione del DPO le risorse necessarie per assolvere ai suoi compiti, per mantenere la propria conoscenza specialistica e per accedere ai dati personali e ai trattamenti. Il DPO non deve ricevere istruzioni circa l’esecuzione dei propri compiti e deve riferire direttamente al vertice gerarchico.
L’EDPS, con la sua Decisione 01/2026, ha ulteriormente ribadito il principio fondamentale dell’indipendenza del DPO, confermando che la mancanza di risorse adeguate costituisce di per sé una violazione degli obblighi del titolare.
Ma nella realtà quotidiana della sanità italiana, questi princìpi restano troppo spesso lettera morta ed un DPO che malpagato per un’azienda sanitaria con migliaia di dipendenti, centinaia di migliaia di assistiti, decine di sistemi informativi, centinaia di ricerche attive, e che deve confrontarsi quotidianamente con le sfide della cybersecurity, dell’intelligenza artificiale e della normativa NIS 2, non è un DPO indipendente, ma è un DPO impossibilitato a fare ciò che dovrebbe.
Tale condizione ha conseguenze importanti non solo per il titolare, che non riceve indicazioni adeguate, ma anche per gli interessati, che rischiano di non trovare interlocutori attenti e preparati al rispetto dei loro diritti, e perfino per l’Autorità di controllo, che non può che registrare la scarsa incisività della figura nel migliorare i processi di trattamento di dati personali.
Protezione dei dati sanitari e sicurezza nazionale
Quando parliamo di DPO in ambito sanitario non dobbiamo dimenticare che la Direttiva NIS 2 (Direttiva UE 2022/2555), recepita con il D.Lgs. 138/2024, classifica il settore sanitario tra quelli ad alta criticità, essenziali per la sicurezza nazionale.
Non è una classificazione formale: la sicurezza di uno Stato dipende anche dallo stato di salute dei cittadini, dalla capacità del sistema sanitario di resistere agli attacchi cibernetici, dall’integrità dei dati clinici.
Il DPO della sanità opera all’intersezione tra protezione dei dati e cybersecurity, in un settore dove un data breach può coinvolgere centinaia di migliaia di assistiti e dove il dato sanitario vale mediamente 30 euro a dossier sul mercato nero.
Ci troviamo, inoltre, in un momento storico di enorme e rapidissimo sviluppo delle intelligenze artificiali in ambito sanitario: sistemi diagnostici basati su reti neurali, algoritmi predittivi per la stratificazione del rischio clinico, applicazioni di natural language processing ai referti medici, piattaforme di digital pathology, strumenti di supporto decisionale che il Regolamento europeo sull’Intelligenza Artificiale (AI Act, Regolamento UE 2024/1689) e la legge italiana di recepimento (L. 132/2025) classificano in larga misura come sistemi ad alto rischio.
Il DPO è chiamato a valutare la conformità di questi trattamenti, a partecipare alle valutazioni d’impatto sui diritti fondamentali, a confrontarsi con tecnologie che evolvono a una velocità senza precedenti e dove le norme di riferimento, comunque numerose ed impegnative da studiare, non sono state ancora del tutto definite.
Pensare di poter affidare questa responsabilità a un solo professionista, pagato a volte quasi quanto un collaboratore domestico part-time non è soltanto irragionevole, ma è pericoloso per la tenuta del sistema aziendale.
La necessità di un intervento dell’Autorità Garante
Di fronte a questo scenario, appare indifferibile un intervento incisivo dell’Autorità Garante per la protezione dei dati personali, che si articoli su più livelli.
In primo luogo, è necessaria l’emanazione di linee guida realistiche sulle modalità di trattamento dei dati personali nella ricerca medica, che tengano conto della dimensione quantitativa del fenomeno e che individuino criteri proporzionati per l’effettuazione della DPIA negli studi retrospettivi e per quanto riguarda il contributo effettivo che deve essere fornito dal DPO.
L’art. 35, par. 1, del Regolamento parla di valutazione d’impatto quando un trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Negli studi retrospettivi, dove i dati sono già in possesso del titolare, dove viene applicata la pseudonimizzazione, dove non vi è alcun intervento sulla salute del paziente, e dove le procedure adottate a seguito dell’applicazione delle Regole Deontologiche allegate al Codice Privacy, il rischio per gli interessati è tipicamente contenuto.
Alla luce di tali considerazioni sarebbe auspicabile un approccio proporzionato a modelli semplificati e standardizzati di DPIA per le ricerche a basso rischio, sulle quali il DPO potrebbe offrire un preliminare supporto metodologico di carattere generale, riservando la valutazione approfondita ai soli casi che presentano effettiva complessità.
In secondo luogo, e con urgenza ancora maggiore, l’Autorità Garante dovrebbe adottare un Provvedimento di carattere generale ai sensi dell’articolo 154-bis del Codice Privacy, che alla lettera a) del primo comma gli attribuisce il potere di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, per richiamare i titolari del trattamento in ambito sanitario al rispetto sostanziale del relativo articolo 38.
In questo dovrebbe essere evidenziato che il DPO deve essere dotato di risorse adeguate e che l’adeguatezza delle risorse passa necessariamente per un compenso commisurato alla complessità, alla delicatezza e al volume delle attività che gli vengono richieste ed a un team dedicato, che gli consentirebbe di portare avanti i tanti compiti che la legge gli attribuisce.
L’Autorità dovrebbe altresì essere stimolata a effettuare controlli specifici e a sanzionare i titolari che, attraverso gare al massimo ribasso, selezionano DPO a compensi incompatibili con qualsiasi prestazione professionale seria, calmierando in modo distorsivo un mercato che necessita, al contrario, di professionalità elevate e adeguatamente remunerate.
Dalla torre di Babele alla cattedrale della protezione dati
Il sistema attuale produce un paradosso insanabile: si richiede al DPO un ruolo sempre più centrale e sofisticato, valutare un numero sproporzionato di DPIA, analizzare trasferimenti internazionali, confrontarsi con l’intelligenza artificiale, presidiare la cybersecurity di infrastrutture critiche, e allo stesso tempo gli si negano le risorse minime per farlo.
Il risultato è sotto gli occhi di tutti, visti i documenti generici disponibili anche sui siti web delle aziende sanitarie, tali che soddisfino la forma, ma non la sostanza, andando a configurare un sistema di garanzie che protegge solo sulla carta.
Se davvero si vuole che la protezione dei dati in sanità ed in particolare nella ricerca medica sia effettiva, occorre un cambio di paradigma.
Occorre che i titolari comprendano che il DPO non è un costo da minimizzare ma un investimento sulla qualità e sulla legalità della ricerca.
Occorre che il Garante intervenga con la fermezza che la situazione richiede.
Occorre passare dalla logica della torre di Babele, dove si costruisce in altezza senza curarsi delle fondamenta, a quella della cattedrale, dove ogni pietra è collocata con la consapevolezza che dalla solidità dell’insieme dipende la tenuta dell’intera struttura.
In un Paese che aspira a essere protagonista della ricerca biomedica europea, che investe attraverso il PNRR nella digitalizzazione della sanità, che si confronta con le sfide dell’intelligenza artificiale, non è più tollerabile che il custode dei diritti fondamentali dei cittadini-pazienti sia trattato come una voce residuale di bilancio.
La dignità della funzione, e, attraverso di essa, la dignità dei diritti che è chiamata a proteggere, esige ben altro rispetto.
