NEWSLETTER N. 540 del 27 novembre 2025

• Sanità, il Garante privacy sanziona società che gestisce un ospedale
• Garante: online le FAQ su trattamento dati e trasparenza nei concorsi pubblici
• Whistleblowing: nuovo parere del Garante privacy sulle Linee guida di ANAC
• "La scuola a prova di privacy". Online il vademecum aggiornato del Garante
• GDPR e obblighi di trasparenza, il Garante privacy partecipa al CEF 2026

Sanità, il Garante privacy sanziona società che gestisce un ospedale
Smaltito il campione di tessuto di una paziente destinato all’esame istologico

La distruzione accidentale o, comunque, non autorizzata, di un campione di tessuto prelevato durante un intervento chirurgico, associato all’identità di una paziente, comporta una violazione della normativa privacy. Lo ha affermato il Garante per la protezione dei dati personali nel sanzionare una società che gestisce un ospedale, dove per errore era stato smaltito un campione biologico asportato ad una paziente. Il materiale doveva essere infatti inviato al laboratorio di anatomia patologica per l’esame istologico del reperto. La società aveva anche omesso di notificare la violazione all’Autorità.

Il provvedimento nasce dal reclamo della paziente che aveva subito la distruzione accidentale del campione biologico. Nel reclamo veniva inoltre lamentato lo smarrimento di un DVD contenente una risonanza magnetica effettuata dall’interessata presso un’altra struttura, di cui però non è stato possibile accertare se la responsabilità fosse dell’ospedale o della donna.

Per quanto riguarda la distruzione del materiale biologico, il Garante ha accertato che l’ospedale non aveva adottato specifiche cautele volte a garantire il rispetto del principio di integrità e riservatezza dei dati personali e degli obblighi di sicurezza. L’incidente era stato infatti determinato da un errore materiale dovuto alla mancanza di comunicazione tra chirurgo e infermiera di sala.

Considerata la gravità dell’accaduto, che aveva esposto la donna a rischi concreti per la propria salute, trattandosi tra l’altro di un reperto non replicabile, il Garante ha quindi inflitto una prima sanzione di 50mila euro alla società in quanto titolare del trattamento. Una seconda sanzione da 20mila euro è stata invece comminata perché la società non aveva notificato il data breach all’Autorità come previsto dal Regolamento europeo ma si era limitata ad avvertire l’interessata e ad avviare la fase di follow up radiologico.

Garante: online le FAQ su trattamento dati e trasparenza nei concorsi pubblici 

Sono disponibili online sul sito del Garante privacy - www.gpdp.it - le risposte alle domande più frequenti sul trattamento dei dati personali nei concorsi pubblici e nelle prove selettive.

Le FAQ, realizzate in collaborazione con il Dipartimento della Funzione Pubblica, aiuteranno le amministrazioni a garantire la privacy dei candidati durante le procedure concorsuali e selettive, alla luce delle novità introdotte dal decreto legge 25/2025, convertito con modificazioni dalla L. n. 69/2025.

In particolare, offrono indicazioni pratiche su come comunicare con i candidati durante le varie fasi delle selezioni e su come pubblicare online le graduatorie finali senza incorrere in violazioni.

L’obiettivo è rendere le procedure concorsuali più trasparenti e sicure. Anche grazie al Portale InPA, che centralizza il reclutamento pubblico e introduce nuove funzionalità digitali per semplificare l’intero processo.

Whistleblowing: nuovo parere del Garante privacy sulle Linee guida di ANAC 

Il Garante privacy ha espresso parere su due proposte di delibera dell’Anac relative al whistleblowing. La prima riguarda l’approvazione delle Linee guida per le segnalazioni interne, la seconda l’aggiornamento delle Linee guida per le segnalazioni esterne. L’obiettivo è rendere la gestione delle segnalazioni, sia interne che esterne, più uniforme ed efficace.

Le Linee guida tengono conto delle interlocuzioni intercorse con l’Ufficio del Garante, nella prospettiva di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.

Molti i punti di attenzione, tra i quali, in particolare, i possibili rischi derivanti dall’utilizzo della posta elettronica come canale di segnalazione; la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; i tempi di conservazione della segnalazione e della relativa documentazione; la possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza.

In continuità con gli orientamenti del Garante in materia, le Linee guida sui canali interni di segnalazione forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di acquisizione e gestione della segnalazione.

Ciò anche con riguardo alle misure tecniche e organizzative che, nel rispetto del principio di accountability, i datori di lavoro pubblici e privati, e gli altri soggetti obbligati, potranno adottare per proteggere i dati delle persone nel corso del processo di acquisizione e gestione della segnalazione, come, ad esempio, accorgimenti per impedire la tracciabilità della persona segnalante che acceda ai canali interni di segnalazione dalla rete dati interna all’organizzazione del datore di lavoro. 

"La scuola a prova di privacy". Online il vademecum aggiornato del Garante

Dall’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche alle chat di classe, dalla pubblicazione dei dati personali online all’uso degli smartphone in classe, dalle iscrizioni scolastiche alle graduatorie dei docenti e del personale scolastico.

È online la versione aggiornata del vademecum “La scuola a prova di privacy” che affronta le tematiche connesse al trattamento dei dati personali nelle istituzioni scolastiche, anche alla luce dei nuovi strumenti di intelligenza artificiale. L’obiettivo è quello di offrire alle istituzioni scolastiche, alle famiglie, agli studenti e ai docenti un agile strumento per assicurare la più ampia protezione dei dati delle persone che crescono, studiano e lavorano nel mondo scolastico.

Il Garante raccomanda, in particolare, a genitori, studenti, componenti delle chat di classe il rispetto della normativa in materia di protezione dei dati personali evitando di divulgare notizie, foto e video senza il consenso dei ragazzi o delle persone coinvolte. Sarebbe inoltre opportuno che le scuole limitassero l’utilizzo delle chat per comunicazioni ufficiali privilegiando altri strumenti (ad es. registro elettronico). Con il parere del Garante, poi, il Ministero dell’Istruzione ha pubblicato le prime Linee guida per un uso sicuro dell’IA nelle scuole. Le indicazioni vietano pratiche invasive come il riconoscimento delle emozioni e raccomandano di usare dati personali solo se indispensabili, preferendo dati sintetici.

Il vademecum è disponibile nella pagina tematica del sito del Garante dedicata al mondo della scuola https://www.garanteprivacy.it/temi/scuola

GDPR e obblighi di trasparenza, il Garante privacy partecipa al CEF 2026 
Azione coordinata delle Autorità di protezione dati europee

Il rispetto degli obblighi di trasparenza e di informazione previsti dal GDPR è al centro dell’azione coordinata delle Autorità di protezione dati europee per il 2026, a cui prenderà parte anche il Garante privacy italiano.

Il Regolamento garantisce infatti che gli interessati siano chiaramente informati del trattamento dei loro dati personali (articoli 12, 13 e 14 del GDPR). Si tratta di un elemento fondamentale del principio di trasparenza, attraverso cui le persone potranno esercitare un maggiore controllo sui propri dati e far valere i propri diritti.

Nell’ambito di questa iniziativa, il Garante italiano contribuirà all’approfondimento del tema e alla definizione di eventuali azioni comuni a livello nazionale e europeo.

Il Quadro di attuazione coordinata (Coordinated Enforcement Framework – CEF) è uno strumento promosso dal Comitato europeo per la protezione dei dati (EDPB) per rafforzare la cooperazione tra le Autorità europee e garantire un’applicazione più coerente del GDPR nei diversi Stati membri.

Le precedenti edizioni del CEF hanno preso in esame l’utilizzo dei servizi cloud da parte del settore pubblico (2022), la designazione e ruolo del Responsabile della protezione dei dati (2023), l’attuazione del diritto d’accesso (2024) e del diritto alla cancellazione (oblio) nel 2025, i cui risultati saranno pubblicati nei prossimi mesi.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Garante privacy, Collegio: mai stati al corrente della richiesta di controllo dati dei dipendenti - Comunicato del 21.11.2025

• Luigi Montuori nuovo Segretario generale del Garante privacy - Comunicato del 21.11.2025

• Garante privacy, il Segretario generale rassegna le dimissioni – Comunicato del 20.11.2025

• Garante privacy, Collegio estraneo a richiesta controllo dati dei dipendenti - Comunicato del 20.11.2025

• Social Media: online la guida aggiornata del Garante privacy - Comunicato del 14.11.2025

• Garante privacy e Arma dei Carabinieri insieme per educare alla legalità digitale - Comunicato del 13.11.2025

• Sanità digitale e privacy: richiamo del Garante privacy all’uso responsabile dei dati e dell’IA - Comunicato del 12.11.2025

• Nota di precisazione del Garante per la protezione dati personali sulla propria situazione finanziaria - Comunicato del 9.11.2025

• Garante privacy: su Smart Glasses nessun danno erariale - Comunicato dell’8.11.2025

• Siti e app per bambini, in corso l’indagine internazionale. Fino al 7 novembre, l’iniziativa organizzata dal Global privacy enforcement network – Comunicato del 5.11.2025

• Intelligenza artificiale, Garante privacy: dal 3 novembre LinkedIn addestrerà i suoi sistemi utilizzando i dati personali degli utenti che non si saranno opposti - Comunicato del 28.10.2025

• Garante privacy: non si contesti l’indipendenza delle decisioni – Comunicato del 26.10.2025 

• Dichiarazione del Presidente del Garante per la protezione dei dati personali, prof. Pasquale Stanzione, sull'indipendenza dell'Autorità – Comunicato del 24.10.2025 

• Garante privacy a Ranucci: Autorità indipendente a tutela della legalità - Comunicato del 23.10.2025

• Caso Sangiuliano-Corsini, il Garante privacy sanziona la Rai. Respinto un diverso reclamo di Sangiuliano nei confronti di altre testate giornalistiche – Comunicato del 23.10.2025

• Protezione dati e cybersicurezza, l’intervento del Garante privacy. Al Nucleo per la cybersicurezza di ACN, la relazione di Pasquale Stanzione - Comunicato del 16.10.2025

• Angelo Fanizza nuovo Segretario generale del Garante privacy - Comunicato del 10.10.2025

• “La Privacy in salute”. Il 29 settembre si terrà il terzo appuntamento dedicato al settore sanitario e della ricerca scientifica - 6.10.2025

• Deepfake, Garante: stop a Clothoff, l’app che spoglia le persone - Comunicato del 3.10.2025

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it