Nella newsletter n. 539 del 25 settembre 2025, il Garante Privacy si è esposto in tema di accessibilità ai dossier sanitari, diritto di accesso ai dati da parte dei clienti di banche e obblighi di trasparenza da parte delle PA.

Dossier sanitario accessibile solo per ragioni di cura

Il Garante privacy ha sanzionato con 80.000 euro un’Azienda Ospedaliero-Universitaria per non aver configurato correttamente il dossier sanitario. Il provvedimento nasce da un accertamento ispettivo dell’Autorità presso l’Ospedale, per verificare il rispetto della normativa privacy nei trattamenti effettuati mediante il dossier sanitario.

Dagli accertamenti è emerso che l’Azienda utilizzava due applicativi relativi rispettivamente alla cartella ambulatoriale e a quella di ricovero, attraverso i quali tutto il personale sanitario poteva effettuare ricerche sulla storia clinica dei pazienti anche nel caso in cui non fosse coinvolto nel loro percorso di cura. I sistemi utilizzati dall’Azienda Ospedaliero-Universitaria non prevedevano infatti l’utilizzo di adeguate misure di profilazione degli accessi né misure di sicurezza come l’utilizzo di alert o il tracciamento delle operazioni effettuate sugli applicativi, in appositi file di log. Inoltre, i pazienti non erano a conoscenza dell’esistenza dei trattamenti effettuati attraverso il dossier e dunque impossibilitati a prestare o negare il proprio consenso al proprio dossier o a decidere se oscurare alcune informazioni come quelle soggette a maggior tutela.

Nel comminare la sanzione, il Garante ha ribadito quanto già stabilito nelle Linee Guida del 2015 ovvero che al paziente dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo ha effettivamente in cura.

Banche: diritto di accesso dei clienti alle telefonate

Il Garante privacy ha sanzionato per 100.000 euro a una banca per non aver risposto in modo esaustivo a un cliente che aveva fatto richiesta di accesso ai propri dati personali contenuti nelle conversazioni telefoniche.

Il cliente, vittima di una frode, si era rivolto alla banca per ottenere le registrazioni delle chiamate intercorse con il servizio clienti, utili per contestare l’esecuzione di un bonifico di circa 10.000 euro e ricostruire quanto accaduto. Non avendo ricevuto una risposta soddisfacente, ha presentato un reclamo all’Autorità.

Solo dopo l’apertura del procedimento da parte del Garante, la banca ha fornito le registrazioni, ma ormai oltre il termine dei 30 giorni previsto dal Regolamento UE (art.15).

Nel suo provvedimento sanzionatorio, il Garante ha ricordato che anche le telefonate tra cliente e banca possono essere considerate dati personali e, in quanto tali, devono essere accessibili su richiesta, nel rispetto dei diritti di eventuali terzi coinvolti (Linee Guida Edpb 01/2022).  

PA e obblighi di trasparenza online

Il Garante privacy ha dato parere favorevole ad Anac su altri 6 schemi standard di pubblicazione che le Pubbliche amministrazioni devono seguire per rispettare gli obblighi di trasparenza online. Gli schemi, previsti dal decreto trasparenza (D.Lgs. 33/2013), tengono conto delle diverse osservazioni formulate dall’Ufficio, affinché la diffusione delle informazioni avvenga nel rispetto del diritto alla protezione dei dati personali degli interessati.

In conformità con la disciplina europea e nazionale in materia, le PA dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati previsti dalla normativa vigente nel rispetto dei principi di necessità e proporzionalità. Ad esempio, non potrà essere indicato il grado di parentela dei familiari dei titolari di incarichi politici, di amministrazione, di direzione o di governo, che non abbiano prestato consenso alla pubblicazione dei propri dati reddituali e patrimoniali.

Il Garante ha inoltre chiarito come in relazione alle procedure di conferimento degli incarichi riguardanti la dirigenza sanitaria si applicano gli obblighi di trasparenza previsti per i concorsi pubblici (art. 19 del d. lgs. n. 33/2013) in cui non è prevista la pubblicità di curricula e nominativi di candidati non vincitori.

Il Garante ha infine invitato l’Autorità anticorruzione a valutare l’opportunità di un periodo transitorio che consenta alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione.

Fonte: Newsletter Garante Privacy 25 settembre 2025 n. 539