La recente decisione del Garante per la protezione dei dati personali, che ha sanzionato il gestore di una struttura ospedaliera per lo smaltimento accidentale di un campione istologico, va ben oltre la contingenza dell’errore. È l’ennesimo segnale di un sistema sanitario che spesso fatica a integrare procedure cliniche, responsabilità amministrative e cultura della protezione dei dati. A pagarne il prezzo, ancora una volta, è una paziente privata della possibilità di ottenere una diagnosi completa.

Il valore di un reperto unico e la vulnerabilità del percorso di cura

Nel caso esaminato dall’Autorità, un campione di tessuto prelevato durante un intervento chirurgico è stato distrutto per sbaglio prima di essere inviato all’anatomia patologica. Non si tratta di un dettaglio marginale: un reperto biologico è un dato personale a massima sensibilità, irrinunciabile per definire prognosi e terapie. La sua perdita costituisce un data breach a tutti gli effetti, con ripercussioni dirette sul diritto alla salute. Le verifiche hanno mostrato come il problema non fosse l’errore del singolo, ma l’assenza di procedure interne adeguate. Tracciabilità, conservazione e comunicazione tra équipe erano lasciate a prassi consolidate più che a protocolli formali. Ed è proprio questa zona grigia, tipica di molta sanità italiana, a generare vulnerabilità.

L’irrisolta questione della governance dei dati sanitari


Accanto al campione smarrito, il reclamo della paziente segnalava anche la scomparsa di un DVD contenente una risonanza magnetica eseguita altrove. Su questo aspetto il Garante non ha potuto accertare responsabilità certe, ma l’episodio conferma un tema più ampio: la gestione dei supporti fisici è ancora troppo esposta a disattenzioni e discrezionalità. In un contesto europeo in cui il Regolamento 2016/679 (GDPR) impone standard elevati di integrità, disponibilità e riservatezza, la frammentazione delle pratiche ospedaliere rappresenta un fattore di rischio strutturale. Il passaggio al digitale non può convivere con archivi analogici gestiti in modo artigianale.

Leggi anche

Le sanzioni e il mancato obbligo di notifica

Il Garante ha irrogato una prima multa da 50mila euro per le carenze organizzative che hanno permesso lo smaltimento del reperto. Una seconda sanzione, pari a 20mila euro, è stata applicata per l’omessa notifica del data breach all’Autorità: il GDPR impone di comunicare ogni violazione che possa incidere sui diritti delle persone, mentre l’ospedale si era limitato a informare la paziente e ad avviare controlli clinici. È un punto cruciale: la protezione dei dati non è un adempimento burocratico, ma un pilastro della qualità assistenziale. La trasparenza verso le istituzioni non è un optional.

Perché servono riforme, non solo sanzioni

Questo provvedimento non è un attacco alla sanità, ma un invito a modernizzarla. Servono procedure standardizzate, formazione continua, investimenti digitali e una governance capace di unire sicurezza informatica, responsabilità clinica e diritti dei pazienti. Per una politica che si proclama riformista, la tutela dei dati sanitari è parte integrante della missione pubblica: garantire cure migliori, più eque e più sicure. La dignità delle persone passa anche da qui.

Riccardo Renzi

© Riproduzione riservata