Con la newsletter n. 547 del 21 maggio 2026, il Garante Privacy ha sanzionato per 85.000 euro The European House Ambrosetti per data breach, ha aggiornato le FAQ sul fascicolo sanitario elettronico e ha sanzionato un medico per aver diffuso foto di un paziente malato senza il suo consenso.

Data breach: sanzionata The European House Ambrosetti

Una sanzione di 85.000 euro è stata irrogata dal Garante a The European House – Ambrosetti spa, società di consulenza strategica e think tank, per carenze nelle misure di sicurezza. Le criticità sono emerse a seguito di un data breach che ha coinvolto 61.670 persone, tra cui dipendenti di aziende clienti e personale interno che utilizzavano i servizi online. La società aveva notificato il data breach all'Autorità nei tempj previsti, mentre era stata tardiva la comunicazione della violazione agli interessati, avvenuta solo dopo l’intervento dell’Autorità.

Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. Conservava inoltre credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati.

I fatti risalgono ad un evento avvenuto ad aprile 2024. La società, nel frattempo, ha rafforzato le procedure e le misure tecniche e organizzative per prevenire il ripetersi di eventi di questo tipo.

Fascicolo sanitario elettronico: aggiornate le FAQ

Sul sito del Garante Privacy sono state pubblicate le FAQ aggiornate sul Fascicolo sanitario elettronico (FSE), il sistema che raccoglie l’insieme dei dati e dei documenti sanitari e sociosanitari dei cittadini, generati dalle strutture sanitarie pubbliche e private che li hanno in cura.

Le novità, oltre ad alcune integrazioni in tema di consenso, riguardano in particolare il dossier farmaceutico e l’Ecosistema dati sanitari (EDS).

Il dossier farmaceutico è una sezione del FSE aggiornata dalla farmacia al momento della consegna dei farmaci. Consente di migliorare la qualità del servizio e favorire il monitoraggio, l’appropriatezza nell’erogazione dei medicinali e l’aderenza alla terapia, contribuendo alla sicurezza del paziente.

L’EDS è una componente del FSE alimentata con i dati e i documenti presenti nel Fascicolo - esclusi quelli oscurati dall’assistito - nonché con quelli resi disponibili dal sistema Tessera Sanitaria. Attraverso l’EDS sarà inoltre possibile utilizzare i dati per finalità di prevenzione, controllo e gestione del sistema sanitario.

No alla diffusione delle foto di un malato senza consenso

Non è possibile pubblicare immagini di una persona malata senza consenso, neanche per finalità di ricerca medico scientifica, se prima non siano state anonimizzate. A maggior ragione se ne ledono la dignità.

Lo ha ribadito il Garante Privacy che ha irrogato una sanzione di 5.000 euro a un medico che aveva utilizzatole foto di un neonato affetto da una grave malformazione e poi deceduto, in occasione di un convegno di medicina. Lo studio era stato poi pubblicato sul sito della Società italiana di pediatria (Sip) e successivamente rimosso.

il Garante ha ricordato che il Codice di condotta sull’utilizzo di dati sulla salute per finalità di studio e di pubblicazioni scientifiche approvato dall’Autorità prevede che il medico assicuri la non identificabilità dei soggetti coinvolti mediante l’adozione di specifiche misure di anonimizzazione e, qualora ciò non sia possibile, di pseudonimizzazione previo consenso dell’interessato.

Nel caso specifico, il medico avrebbe quindi dovuto acquisire il consenso dei genitori e poi sottoporre i dati a tecniche di pseudonimizzazione, nel rispetto della dignità del neonato, oppure anonimizzare i dati del minore. 

Fonte: Newsletter Garante Privacy 21 maggio 2026 n. 547