[doc. web n. 10257334]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 309 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con reclamo presentato a questa Autorità il sig. XX ha lamentato che a seguito della richiesta, in data “XX, (…) alla Tirrenia Hospital SRL (della) trascrizione dattiloscritta o, comunque, comprensibile, di tutto quanto prodotto (ovvero della copia della cartella clinica della propria madre deceduta), anche in riferimento al nominativo (cognome e nome) del sanitario (medico, infermiere, etc.) a cui riferire ciascuna delle sottoscrizioni e/o sigle ivi apposte (…) nonostante (…) (fosse)  ampiamente decorso un mese, a detta specifica richiesta non ha fatto seguito alcun riscontro da parte della Tirrenia Hospital SRL e/o del Titolare del Trattamento”. 

Successivamente a tale riscontro, l’Ufficio, con nota del XX (prot. n. XX), ha invitato la struttura ospedaliera sopra citata a fornire informazioni, ai sensi dell’art. 157 del Codice. 

Con nota del XX la struttura ospedaliera ha fornito riscontro e in data XX l’interessato ha presentato osservazioni all’Autorità; successivamente ad esse, con nota del XX (prot. n. XX), l’Ufficio ha richiesto ulteriori informazioni alla struttura ospedaliera ai sensi dell’art. 157 del Codice, la quale, con nota del XX ha comunicato di aver trasmesso al reclamante le trascrizioni del diario clinico, della scheda infermieristica e del diario infermieristico, inviando tali trascrizioni, in allegato, anche all’Autorità.

In risposta a quanto ricevuto, il reclamante con nota del XX ha osservato all’Autorità che “le trascrizioni del diario clinico e delle schede di terapia non riportano l’identificazione del personale medico, autore delle singole annotazioni”, in relazione alle quali l’Ufficio ha chiesto ulteriori informazioni con nota del XX (prot. n. XX). 

Il titolare, con nota del XX, ha rappresentato, fra altro, che: 

“(si è concentrata) l’attenzione sulla correttezza dei contenuti clinici e terapeutici, già integralmente e leggibilmente sottoscritti/siglati dal personale sanitario di riferimento direttamente sull'originale manoscritto”;

“(…) i documenti originali (manoscritti), di cui il (…) (reclamante) è in possesso, riportano in calce o in corrispondenza delle singole annotazioni le firme depositate o i timbri di identificazione del personale sanitario (medico e infermieristico), garantendo la piena rintracciabilità e attribuzione delle singole operazioni. (…) L'identificazione completa del personale è pertanto garantita dalla documentazione originale stessa in possesso del reclamante”; 

“(…) Pur ribadendo che la tracciabilità e la completezza delle informazioni, inclusa l’identità del personale sanitario, sono assicurate dalla documentazione originale manoscritta già trasmessa, la Struttura Sanitaria  (…) (ha impartito) una disposizione interna urgente al personale addetto alle trascrizioni affinché, per tutte le future richieste di accesso e trascrizione di documenti sanitari, vengano sempre inclusi nella trascrizione dattiloscritta anche i nomi e i cognomi per esteso del personale sanitario (medico e infermieristico) di riferimento, laddove le firme/sigle apposte sul/'originale risultino ambigue o non facilmente associabili”;

“In relazione alla presente istanza, si ê proceduto ad effettuare una integrazione della trascrizione dattiloscritta (…), che sarà trasmessa anche al Sig. XX, riportando in corrispondenza delle annotazioni le generalità complete dei professionisti sanitari già trasmesse via pec al sig. XX con elenco in data, XX ore XX”; 

Con nota del XX, il reclamante ha inviato osservazioni al Garante rappresentando che le trascrizioni ricevute non riportavano la “(…) identificazione del personale medico, autore delle singole annotazioni”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori e le difese del titolare

L’Ufficio, con atto del XX (prot. n. XX), ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti del titolare del trattamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981). 

In tale atto, l’Ufficio, con riferimento alla comprensibilità dei dati contenuti nella cartella clinica del genitore deceduto del reclamante, della quale, quest’ultimo, ha richiesto alla struttura ospedaliera citata, in data XX, la trascrizione dattiloscritta in ragione “(…) della grafia indecifrabile, parti manoscritte (diario clinico, diario infermieristico, schede di terapia, etc.) (…) incomprensibili, neppure è consentita l’identificazione degli operatori sanitari, autori delle annotazioni” (cfr. reclamo del XX), ha ravvisato una ipotesi di inosservanza, da parte del titolare del trattamento, dell’art. 92, comma 1, del Codice.

Con nota del XX, il titolare ha presentato una memoria difensiva nella quale ha rappresentato che: 

“(…) la Tirrenia Hospital ha operato nel costante tentativo di contemperare il diritto del reclamante con l’elevata mole documentale richiesta (381 pagine)”; 

“Nella trascrizione dattiloscritta iniziale l’identità del personale sanitario era già garantita dai timbri e dalle firme apposte sui documenti originali già in possesso del (…) (reclamante)”; 

“In data XX, la struttura ha provveduto a trasmettere al Sig. XX l'integrazione completa delle trascrizioni, riportando in corrispondenza di ogni annotazione i nominativi dei medici per esteso, sanando così definitivamente ogni presunta carenza di "comprensibilità" ex art. 92 del Codice”.

Il titolare ha, altresì, chiesto di essere sentito dall’Autorità ai sensi dell’art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981. 

In data xx si è svolta l’audizione del titolare, il quale ha rappresentato che “(…) Per quanto concerne l’osservanza della normativa in materia di protezione dei dati personali, la clinica ha provveduto alla completa trascrizione dattiloscritta della corposa documentazione clinica (381 pagine) relativa alla (madre del reclamante) (…), nonché alla trascrizione dei nominativi del personale medico, benché tali nominativi siano già depositati presso la Direzione sanitaria. In considerazione di quanto sopra si chiede, quindi, di procedere all’archiviazione del procedimento amministrativo e, in subordine, all’adozione di un provvedimento di ammonimento”.

3. Inquadramento giuridico e valutazioni dell’Autorità 

Con riferimento alla vicenda in questione si premette che per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute”, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 1 e 15 del Regolamento). 

L’art. 92, comma 1, del Codice stabilisce che “Nei casi in cui strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri”.

4. Esito dell’attività istruttoria

Con riferimento a quanto dichiarato e documentato in atti e nel corso dell’audizione, si rappresenta quanto segue. 

In relazione alla comprensibilità dei dati relativi alla salute presenti nella cartella clinica del genitore deceduto del reclamante, considerato che la redazione di tale cartella, da parte del personale sanitario, è avvenuta con “(…) grafia indecifrabile, parti manoscritte (diario clinico, diario infermieristico, schede di terapia, etc.) (…) incomprensibili” (cfr. reclamo del XX) - tanto che il reclamante medesimo, con istanza del XX, ha richiesto alla sopra citata struttura ospedaliera la trascrizione dattiloscritta - sulla base della documentazione oggetto del reclamo inviata dal reclamante, è accertata la violazione dell’art. 92, comma 1, del Codice da parte di tale struttura sanitaria, titolare del trattamento.

Si tiene tuttavia conto che la struttura ha provveduto a dattiloscrivere la documentazione sanitaria e ha dichiarato di avere adottato accorgimenti migliorativi, finalizzati alla comprensibilità dei dati, compresi i nomi e i cognomi per esteso del personale sanitario (medico e infermieristico).

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento in atti e nel corso dell’audizione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, tenuto conto di quanto sopra rappresentato, è accertato che la struttura ospedaliera citata, titolare del trattamento, ha violato l’art. 92, comma 1, del Codice.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che il titolare del trattamento ha provveduto a rendere comprensibili i dati personali contenuti nella cartella clinica della madre del reclamante, nonché ad adottare accorgimenti per scongiurare il verificarsi di casi analoghi, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

Nel caso di violazione dell’art. 92, comma 1, del Codice, l’art. 166 del Codice medesimo, concernente i “Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori”, prevede l’applicabilità della sanzione amministrativa di cui all’art. 83, paragrafo 4, del Regolamento.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Con riferimento alla violazione di cui sopra, soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale cd “statico” stabilito da Regolamento, pari al limite massimo di euro 10.000.000. 

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

In tale circostanza, il livello di gravità, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”) è da considerarsi lieve, tenuto conto che, dalle risultanze degli atti, il reclamo, con riferimento all’oggetto dello stesso, risulta essere un caso isolato e la condotta del titolare, sotto il profilo psicologico, priva di dolo.

Sono stati, poi, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che: il titolare del trattamento ha provveduto, nel caso in questione, alla trascrizione dattiloscritta della documentazione medica e ha adottato, in generale, misure per evitare futuri accadimenti analoghi a quello occorso (art. 83, par. 2, lett. c) del Regolamento); da parte del titolare del trattamento è stata commessa una violazione pertinente afferente all’osservanza del principio di trasparenza che deve connotare i trattamenti effettuati dal titolare (art. 83, par. 2, lett. e) del Regolamento); il titolare del trattamento ha tenuto una condotta collaborativa con l’Autorità (art. 83, par. 2, lett. f) del Regolamento); l’Autorità ha preso conoscenza della violazione a seguito di reclamo (art. 83, par. 2, lett. h) del Regolamento). 

In ragione dei suddetti elementi, valutati nel loro complesso, considerato, altresì, quanto indicato nelle Linee guida sopra citate circa l’incidenza, nel computo dell’ammontare della sanzione pecuniaria, del criterio del fatturato annuo della società riferito all’esercizio precedente, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, del Regolamento, nella misura di euro 1.000,00 (mille/00) per la violazione dell’art. 92, comma 1, del Codice. 

Infine, tenuto conto della natura dei dati relativi alla salute il cui trattamento è oggetto della vicenda in questione, si ritiene che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l'ordinanza-ingiunzione, sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dalla Tirrenia Hospital S.r.l. con sede legale in Mangone (CS), Via Provinciale - c.a.p. 87050 - C.F. n. 03638620785, per la violazione dell’art. 92, comma 1, del Codice, nei termini di cui in motivazione; 

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; 

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante; 

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione della violazione e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori