Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

tutela dei dati

Privacy sanitaria, oltre la compliance: serve collaborazione

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La tutela dei dati sanitari richiede un ecosistema integrato, non solo compliance formale: pazienti, Garante e Stato devono cooperare attivamente. Di fronte ad attacchi ransomware che superano le capacità delle singole strutture serve cultura diffusa e supporto pubblico

Pubblicato il 22 gen 2026
Enrico Pelino

Avvocato e PhD in diritto dell’informatica e informatica giuridica

Cup online, regione per regione appIO sanità formazione digitale in sanità GenAI in sanità; diagnosi precoce;cdss LLM in medicina ia in sanità IA generativa in sanità dossier sanitario elettronico privacy dei dati sanitari

La privacy dei dati sanitari va oltre la semplice osservanza normativa da parte dei titolari del trattamento. Per garantire l’effettiva protezione delle informazioni sensibili dei pazienti, è infatti necessario ripensare il sistema come un ecosistema integrato, dove diversi attori – dai cittadini al Garante, dallo Stato alle strutture sanitarie – cooperano attivamente.

Privacy dei dati sanitari, come proteggersi online: la guida

Oltre la compliance formale: un ecosistema di tutela

L’“inquinamento luminoso” è quel fenomeno che sottrae alla vista fonti luminose meno intense, ad esempio un cielo stellato, quando il campo visivo è disturbato da luci dominanti.

Partiamo da una considerazione largamente condivisa: in sanità, come ovunque del resto, l’effettività dei diritti individuali sui dati, il fatto cioè di avere una concreta aspettativa che siano rispettati i nostri dati, dipende strettamente – ancorché non esclusivamente – dall’altrui osservanza della normativa di settore e dall’attenzione all’innovazione tecnologica.

Dipende, in una parola, dalla compliance, questo non indispensabile termine inglese entrato purtroppo nell’uso. E quando parliamo di compliance l’attenzione si fissa sul titolare del trattamento o, al limite, sul responsabile. Ciò è assolutamente comprensibile e corretto. Tuttavia, puntare il riflettore esclusivamente su questi soggetti rischia di generare inquinamento luminoso, di mascherare cioè un più articolato quadro d’insieme.

Si ottengono, in effetti, molti spunti utili da un allargamento del campo visivo, dal considerare cioè l’osservanza normativa come un ecosistema, e dunque anche la tutela dei diritti come un ecosistema, qualcosa dunque che può funzionare solo quando sono più attori a cooperare.

I limiti dell’approccio sanzionatorio tradizionale

Soccorre inoltre una constatazione piana quanto amara. Limitare l’attenzione – e spesso solo ex post, ossia a violazione avvenuta e dunque in chiave punitiva – all’anello più diretto, quello costituito cioè dai titolari e, se del caso, dai responsabili del trattamento, non ha finora granché contribuito a innalzare la tutela effettiva dei consociati, quantomeno rispetto ad alcune tipologie di violazione, affrontabili più efficacemente a livello di sistema. I data breach continuano insomma a infestarci, i diritti a essere irrisi, chi viene colto in fallo a essere sanzionato, in una ripetizione seriale e poco produttiva.

Ecco, la breve riflessione che segue intende toccare, senza alcuna pretesa sistematica e perfino con alcune ovvietà, tre attori, talvolta in ombra e tuttavia fondamentali in questo ecosistema: gli interessati; il Garante per la protezione dei dati personali; lo Stato. Senza togliere nulla alle responsabilità degli anelli ultimi, ossia ai titolari del trattamento e alla loro filiera, giova – ritengo – guardare alla tutela dei diritti come a un insieme più ampio.

Il ruolo attivo dei pazienti nella vigilanza diffusa

Partiamo dagli interessati, dai pazienti in particolare. Collocati come sono nel ruolo passivo di coloro che subiscono la violazione dei dati, può sembrare controintuitivo considerarli attori dell’ottemperanza normativa altrui. Eppure, i pazienti possono svolgere una preziosa funzione attiva in termini di vigilanza diffusa e di consapevolezza. È un rovesciamento di prospettiva: inutile che la platea dei cittadini si lamenti che la “privacy” non esista, se non contribuisce a farla esistere.

Sia permesso un esempio banale. Si constata la persistenza, anche in strutture sanitarie di livello, dell’abitudine di chiamare coloro che richiedono una prestazione con nome e cognome anziché attraverso codici. Non è solo la violazione in sé a preoccupare, è soprattutto il fatto che essa è la spia di una scarsa cultura della pseudonimizzazione, di una formazione inesatta o non veramente assorbita sui fondamentali. Eppure la pseudonimizzazione si rivela una chiave decisiva per mitigare gli effetti di alcune tipologie di data breach, e può funzionare solo se diventa, appunto, cultura, prassi quotidiana percepita come naturale. Non illudiamoci, è improbabile attendersi che siano i pazienti a pretendere la tutela dei propri dati personali: si trovano in posizione troppo fragile, troppo dipendente, coltivano ben altre preoccupazioni.

Eppure, trasmettere la cultura della pretesa giuridica è possibile, attraverso campagne pubblicitarie informative in televisione, sui social, nei podcast. Certo, è vero che questo controllo diffuso da parte degli interessati non previene fenomeni criminali come gli attacchi ransomware, oggi la principale fonte di violazione, tuttavia si rivela prezioso per altre tipologie di illecito, ad esempio rispetto a percepibili negligenze e superficialità nella gestione di dati sanitari. Inoltre, innesca un aumento di consapevolezza trasversale.

Cinque aree di miglioramento per il Garante

Veniamo a un attore centrale, il Garante. Con spirito assolutamente costruttivo, mi pare si possano individuare almeno cinque aree di intervento nelle quali sono attuabili migliorie:

  1. Interlocuzioni preventive e pareri – Sussiste la difficoltà, se non proprio l’impossibilità, di intrattenere interlocuzioni preventive, ottenere pareri, sciogliere dubbi, se non in ipotesi assai circoscritte, come quelle di cui all’art. 36 GDPR. Eppure, il migliore momento per attuare l’ottemperanza è quello della progettazione, il peggior momento per sciogliere un dubbio è in sede sanzionatoria. L’ipotesi di soluzione potrebbe stare nella possibilità di attivare interpelli all’Autorità su questioni di utilità generale e finestre di confronto diretto, con una tempistica adeguata a scelte aziendali.
  2. Valorizzazione degli interessati – Non è infrequente che emergano data breach da reclami o da segnalazioni a cui non viene dato corso. Ne derivano almeno due ordini di conseguenze: sfiducia del cittadino nella risposta istituzionale e connesso indebolimento della cultura della protezione dei dati; ritardo di intervento in situazioni a pregiudizio crescente. Una possibile immediata chiave di miglioramento potrebbe consistere nel rendere la piattaforma di notifica dei data breach (https://servizi.gpdp.it/databreach/s/) accessibile anche per la raccolta diretta di denunce da parte degli interessati. In definitiva, i diritti esistono solo nella misura in cui siano esercitabili, vale a dire nella misura in cui ricevano una pronta risposta istituzionale.
  3. “Follow-up” – È necessario attivare verifiche rigorose sull’effettiva realizzazione degli adempimenti che conseguono alla comunicazione agli interessati ex art. 34 GDPR.
  4. Coerenza e prevedibilità – Sussistono casi di data breach, anche macroscopici, per i quali, nonostante siano state accertate omissioni di sicurezza e stabilito il nesso eziologico, il procedimento si conclude con un semplice ammonimento. Delle due l’una: o il titolare del trattamento è esente da colpa perché non poteva realisticamente impedire l’evento, secondo i criteri – non inflessibili – degli artt. 24 e 32 GDPR, oppure, stabilita l’omissione e il nesso, occorre essere conseguenti. Le ramificazioni dannose di scelte applicative incoerenti sono rilevanti. Comprendono sia l’affievolimento dell’immagine istituzionale sia pregiudizi ulteriori per gli interessati già lesi, che vendono, per esempio, fortemente vulnerata dal mero ammonimento la strada dell’azione di classe. Si palesa infatti impervio rappresentare al Giudice la sussistenza di un pregiudizio in una violazione derubricata a minore dal principale soggetto istituzionale investito della “dato-filachia”.
  5. Irragionevole contrapposizione tra sicurezza e protezione dei dati – La conservazione, anche prolungata, di log, di metadati, il monitoraggio degli endpoint sono essenziali alla prevenzione degli incidenti, all’attivazione di azioni di contrasto tempestive (le uniche veramente utili), alla ricostruzione della loro dinamica. Si avverte spesso la sensazione che sussista un’errata contrapposizione tra sicurezza e protezione dei dati personali, come se l’obiettivo ultimo della sicurezza, specie in una struttura sanitaria, non fosse proprio quello della protezione dei dati personali dei pazienti. Né è possibile evidentemente stabilire priorità nella tutela dei dipendenti su quella dei pazienti.

Lo Stato contro l’industria del ransomware

Veniamo all’altro attore decisivo, lo Stato, nella sua funzione legislativa e di governo. Qui l’attenzione va posta soprattutto sui ransomware, che da molto tempo ormai pongono questioni anche di ordine geo-politico e di sicurezza nazionale. È chiaro che le strutture sanitarie pubbliche e private sono esposte a una lotta impari se dall’altra parte esiste una vera e propria industria internazionale del breach e se questa industria è utilizzabile anche da attori statali terzi. Ma anche senza arrivare ad un livello così alto, e rimanendo sul piano della criminalità comune, occorre prendere atto dell’esistenza di imprese dell’attacco informatico, di servizi accessibili in cloud, i RAAS, ransomware as a service, di attori specializzati nella distribuzione di punti di accesso compromessi, gli Initial access broker (IABs), di mercati degli zero-days exploit solo per citare alcuni esempi di una vera e propria filiera del crimine, con il suo indotto e le sue reti di distribuzione. Dinanzi a un fenomeno economico così strutturato, la sproporzione di strumenti e di disponibilità economica degli attaccati appare spesso palese e difficile da imputare loro a colpa. Qui si capisce in pieno il senso e la ragione di risposte legislative come, ad esempio, la direttiva la NIS e poi le NIS 2 e CER, anche se l’impressione è che ci si sia mossi in ritardo e al momento più con un approccio formale che con soluzioni efficaci, ma è un punto perfettibile. Occorre di più: campagne di accompagnamento a una cultura della cybersicurezza avanzata, anche oltre il perimetro NIS 2, disponibilità di tool pubblici di contrasto, fondi per il sostegno alle vittime, incentivi fiscali significativi e voucher per chi si dota di strumenti di ultima generazione, strada quest’ultima che, per vero, si sta già in parte percorrendo con interventi quali il decreto del Mimit del 18 luglio 2025.

Ripensare le responsabilità nell’era delle minacce industriali

Tornando al tema iniziale, quello del rapporto tra mancanze nell’ottemperanza al formante normativo e tecnologico e compromissione dei diritti dei consociati, mi pare si possa concludere che mentre alcuni incidenti di sicurezza possono essere facilmente imputati a responsabilità interne dei titolari o, se del caso, dei responsabili del trattamento (es. bug introdotti da un responsabile nell’aggiornamento di un prodotto software, regole labili del titolare in materia di accesso ai dati), rispetto ad altri, come gli attacchi organizzati e su scala industriale a strutture per loro natura particolarmente complesse, sia impensabile credere che una piccola realtà sanitaria privata o anche una grande struttura pubblica, connotata da estrema complessità e dunque anche molto esposta, e da limiti di spesa, possa realisticamente far fronte a un’industria internazionale della violazione dei dati.

In tali casi, è anche possibile concludere, in alcune ipotesi e valutata ogni circostanza, nel senso della non imputabilità dell’evento al titolare o al responsabile. Limitarsi a punire sempre e comunque rende casuali od opportunistiche le condotte, ma non migliora la tutela generale dei diritti. Senza entrare, non è questa la sede, in ragionamenti più strutturati, mi pare che occorra ripensare il ruolo dei principali attori coinvolti, evitando distrazioni da “inquinamento luminoso”.

Il testo riproduce il canovaccio dell’intervento che lo scrivente avrebbe dovuto tenere nel panel “Incidenti di sicurezza in sanità: quando l’assenza di compliance compromette i diritti dei cittadini”, il 28 novembre 2025, nel contesto del Festival DigEat di Lecce.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Enrico Pelino
Avvocato e PhD in diritto dell’informatica e informatica giuridica
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Foto minori online (1)

  • la sanzione del Garante

    Multa al Nido: come pubblicare foto di bambini senza violare la privacy

    12 Set 2025

    di Federica De Stefani

    Condividi
  • frodi ai powered; ufficio denunce

  • sicurezza

    Frodi AI-powered: come difendersi da identità sintetiche, deepfake e BEC evoluto

    14 Gen 2026

    di Davide Liberato lo Conte

    Condividi
  • misure sicurezza base nis 2 Relazione ACN 2024 cybersecurity aziende europee Fondi UE per la cybersecurity compliance NIS2 GDPR 231; Misure ACN Piano cyber italiano

  • ACN

    Misure sicurezza di base Nis 2: tanti costi e burocrazia per le aziende

    22 Apr 2025

    di Alessandro Curioni

    Condividi
0
Lascia un commento, la tua opinione conta.x