Provvedimento del 18 dicembre 2025 [10210247]
Provvedimento del 18 dicembre 2025 [10210247]
Condividi[doc. web n. 10210247]
Provvedimento del 18 dicembre 2025
Registro dei provvedimenti
n. 753 del 18 dicembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e l’avv. Luigi Montuori, Segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. L’istanza pervenuta
Con nota del XX, il sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte dello Studio Fisiokinesiterapico Romano s.r.l., con sede in Viale Libia n. 76, Roma – 00199, P. IVA 01337711004 (di seguito, “Società”), avente ad oggetto la consegna a terzi della propria documentazione sanitaria.
In particolare, il reclamante ha rappresentato che “in data (…) ho eseguito alcune analisi cliniche presso lo STUDIO FISIOKINESITERAPICO ROMANO S.R.L. Il referto doveva essere spedito alla mia e-mail ordinaria XX. Non ricevendolo, in data XX sono ritornato allo studio, e qui un’addetta allo stesso mi riferiva che, in data XX, il referto era stato spedito ad un indirizzo e-mail diverso dal mio per una sola lettera, e precisamente XX, con una “L” al posto della “D” nel nome utente (…). Purtroppo, il referto contiene i miei dati personali (nome, cognome, data di nascita e codice fiscale), che, quindi, sono stati inviati ad un destinatario a me sconosciuto. Infatti, mediante alcuni servizi web di verifica di e-mail (https://www.mio-ip.it/verifica-email ed altri), ho constatato che l'indirizzo sbagliato esiste ed è funzionante”.
2. L’attività istruttoria
In relazione a quanto descritto nella nota sopra citata, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto, ai sensi dell’art. 157 del Codice, alla Società di fornire alcuni elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali, riguardanti, tra gli altri, le modalità ordinarie di consegna dei referti e le misure adottate per prevenire eventi analoghi.
A seguito della predetta richiesta, la Società, con nota del XX, ha rappresentato, in particolare, che “la procedura oggetto della segnalazione è dipesa da un’incompleta fase di interfacciamento tra il nostro software gestionale e il software del laboratorio service, che ha impedito a causa di un bug, l’utilizzo della corretta modalità di scarico online dei referti. A causa di tale limitazione tecnica, abbiamo adottato una procedura limitata al tempo necessario a risolvere il problema, nei fatti non conforme, ma con la semplice volontà di venire incontro alle esigenze dei nostri utenti di ricevere gli esiti con celerità e senza ritornare in struttura. Tuttavia, desideriamo informare che in data XX il bug relativo al processo di interfacciamento tra i due sistemi è stato ottimizzato, rendendo pienamente operativa la procedura di trasmissione sicura dei referti in conformità con la normativa vigente”.
3. La notifica della violazione e le memorie difensive.
Con nota del XX (prot. n. XX), l’Ufficio ha notificato alla Società, ai sensi dell’art. 166 del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, ritenendo configurabile un trattamento illecito per violazione degli artt. 5, par. 1 lett. f), 9 e 32 del Regolamento, per aver la medesima Società comunicato dati relativi alla salute in assenza di un idoneo presupposto giuridico e aver omesso di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. A seguito della notifica della violazione, la Società, con nota del XX, ha fatto pervenire la propria memoria difensiva, nella quale ha rappresentato, in particolare, che:
- “la violazione è consistita in un unico invio errato di referto sanitario a un indirizzo e-mail simile a quello del paziente per un refuso di battitura di una sola lettera. Si è trattato di un episodio isolato, limitato temporalmente e che ha coinvolto un solo interessato. La documentazione erroneamente inviata non è risultata oggetto di ulteriore diffusione”;
- “il fatto è da ritenersi frutto di un errore colposo, non intenzionale, riconducibile a un malfunzionamento tecnico temporaneo tra software gestionali. La società ha prontamente riconosciuto l’errore e ha agito in buona fede, con l’unico intento di agevolare il paziente nell’accesso tempestivo ai propri referti”;
- “nel caso specifico non è stato possibile adottare misure di attenuazione immediate in quanto la segnalazione, purtroppo è pervenuta solo al ricevimento della pec quindi, circa due mesi successivi rispetto all'accaduto, rendendo impossibile contattare tempestivamente il destinatario errato”. Tuttavia, la Società ha trasmesso una parte del teso presente nel corpo delle email di invio referti, in cui è presente una dicitura che “invita chi riceve erroneamente la comunicazione ad agire in modo responsabile”. “Inoltre, l’indirizzo e-mail errato è stato invalidato nei sistemi e la procedura di verifica degli indirizzi è stata aggiornata per impedire il ripetersi dell’errore”;
- “Dal XX è stata completata l’ottimizzazione del sistema di interfacciamento tra software gestionale e laboratorio. A seguito della notifica è stata introdotta una procedura di emergenza nel caso in cui il sistema dovesse riportare nuovamente dei bug funzionali; il personale è stato nuovamente formato sulle nuove procedure. È altresì attiva una procedura formalizzata per il trattamento dei dati, già allegata con il riscontro del XX, sulla quale è stata fatta nuovamente formazione a tutto il personale in data XX. È inoltre previsto un corso di formazione, con ente formativo, per quanto attiene la privacy per XX”;
- “lo Studio ha un profilo di rischio limitato, opera in ambito sanitario con attenzione crescente alla tutela della privacy, non ha precedenti violazioni e ha immediatamente corretto la falla e rivisto la procedura”;
- “la parte di attività relativa al laboratorio analisi è ancora ridotta, poiché il servizio è stato attivato da poco. Inoltre, la maggior parte dei pazienti, essendo residenti in zona, preferisce ritirare i referti cartacei direttamente presso la struttura. Per quanto riguarda gli altri servizi offerti – come la fisioterapia (che non prevede referti) e le visite specialistiche (dove il referto viene consegnato immediatamente al paziente) – non esiste il rischio di errore nell'invio telematico, poiché non vi è alcuna necessità di trasmissione digitale successiva. Tali elementi dimostrano come il caso contestato abbia un carattere fortemente isolato e come la probabilità di ulteriori eventi simili sia da ritenersi estremamente bassa”.
4. L’esito dell’istruttoria
Sulla base della documentazione in atti, si osserva quanto segue.
I dati relativi alla salute richiedono particolare tutela, in quanto possono comportare rischi significativi per i diritti e le libertà fondamentali (art. 4, par. 1, n. 15 e Cons. 51 del Regolamento).
Essi devono essere trattati adottando misure in grado di garantirne integrità, riservatezza e sicurezza (artt. 5, par. 1 lett. f) e 32 del Regolamento).
Inoltre, con precipuo riferimento alla spedizione dei referti tramite posta elettronica, questa Autorità ha fornito precise indicazioni a tutte le strutture pubbliche e private per assicurare che la predetta attività venga eseguita nel rispetto della disciplina in materia di protezione dei dati personali, stabilendo alcune cautele nel caso in cui il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’interessato, tra cui la “convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio” (scenario 2, punto 3 delle Linee guida in tema di referti on-line del 19 novembre 2009, doc. web 1679033).
Nel caso di specie, la trasmissione a un soggetto terzo del referto sanitario dell’interessato è avvenuta in assenza di un idoneo presupposto giuridico (art. 9 del Regolamento).
5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Sulla base delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - gli elementi forniti dal titolare del trattamento nel riscontro alla richiesta di informazioni e nella memoria difensiva non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio sopra citato, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si confermano le valutazioni preliminari dell’Ufficio e si rilevano le violazioni degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento da parte della società Studio Fisiokinesiterapico Romano s.r.l., per non aver adottato un’adeguata misura di sicurezza, quale la convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, volta ad evitare che il referto del sig. XX venisse comunicato a un soggetto diverso, a causa di un errore nell’indirizzo e-mail dello stesso sig. XX, in quanto il predetto referto è stato erroneamente inviato all’indirizzo e-mail “XX”, esistente e, quindi, appartenente ad uno specifico soggetto, anziché al corretto indirizzo e-mail dell’istante “XX”.
Considerato che:
- l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo;
- il titolare del trattamento ha implementato le misure di volte ad evitare la ripetizione della condotta lamentata;
- il titolare del trattamento si è dimostrato prontamente collaborativo durante tutta la fase istruttoria e procedimentale;
- il titolare non ha subito precedenti procedimenti per violazioni pertinenti da parte dell’Autorità,
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento.
Si rileva, altresì, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, l’illiceità del trattamento effettuato dal titolare del trattamento, Società Studio Fisiokinesiterapico Romano s.r.l.;
b) ammonisce il titolare ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, per aver violato gli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;
d) dispone la pubblicazione del presente provvedimento sul sito del Garante, ai sensi dell’art. 154-bis, comma 3 del Codice.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 dicembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Montuori
