Le cifre che seguono non sono proiezioni, non sono stime, non sono scenari ipotetici. Sono sanzioni reali, irrogate dal Garante per la Protezione dei Dati Personali a strutture sanitarie italiane ed europee tra il 2021 e il 2025. Ogni provvedimento è pubblico e consultabile sul sito del Garante.
La ragione per cui questi casi meritano attenzione è che i problemi sanzionati — accessi non controllati, assenza di log, software obsoleti, credenziali inadeguate — sono problematiche ricorrenti nel settore sanitario che riguardano direttamente anche le farmacie italiane.
Caso 1: €75.000 per accessi al dossier sanitario senza controlli
Chi: Azienda Sanitaria dell'Alto Adige Quando: Provvedimento del 22 febbraio 2024 Fonte: Garante Privacy, Registro dei provvedimenti n. 97/2024
Il Garante ha accertato che il personale sanitario poteva accedere al dossier sanitario elettronico di qualsiasi paziente, anche di quelli non in cura diretta. Il sistema prevedeva una semplice autocertificazione manuale della motivazione dell'accesso, senza alcun controllo tecnico effettivo.
Non esisteva un sistema di alert per individuare comportamenti anomali: accessi multipli, accessi fuori orario, accessi a dossier di pazienti non in carico. Il Garante ha ordinato l'adozione immediata di misure tecniche e organizzative adeguate.
Caso 2: €80.000 per dossier sanitario accessibile a tutto il personale
Chi: Azienda Ospedaliero-Universitaria Careggi, Firenze Quando: Provvedimento n. 474 del 4 agosto 2025 Fonte: Garante Privacy, doc. web n. 10166336
L'ospedale utilizzava due applicazioni per i percorsi ambulatoriali e ospedalieri attraverso le quali tutto il personale sanitario poteva effettuare ricerche sulla storia clinica di qualsiasi paziente, anche quando non coinvolto nel percorso di cura. Non esistevano profili di accesso differenziati, né sistemi di alert, né registrazione adeguata delle operazioni in file di log.
Il Garante ha contestato la violazione degli articoli 5, 9 e 32 del GDPR e ha irrogato una sanzione di 80.000 euro.
Nello stesso provvedimento, una clinica privata è stata sanzionata per 12.000 euro per violazioni analoghe.
Caso 3: €120.000 per un bug del software che ha ignorato la richiesta di oscuramento
Chi: Azienda USL della Romagna Quando: Provvedimento del 27 luglio 2021 Fonte: Garante Privacy, doc. web n. 9682619
Una paziente, al momento del ricovero per interruzione farmacologica di gravidanza, aveva compilato il modulo per richiedere l'oscuramento del proprio referto nel fascicolo sanitario. Un bug nel software gestionale ha ignorato la richiesta: il referto è stato trasmesso al medico di famiglia.
Il problema ha coinvolto 48 persone in 16 mesi. Il Garante ha sanzionato la USL con 120.000 euro. La Provincia Autonoma di Trento, per violazioni analoghe, è stata sanzionata con 150.000 euro.
Il principio: la responsabilità per il bug era del software, non della struttura sanitaria. Ma il Garante ha sanzionato la struttura, in quanto titolare del trattamento. Lo stesso principio si applica a qualsiasi struttura sanitaria: anche se il problema è nel software, la responsabilità primaria ricade sul titolare.
Caso 4: €30.000 per dati di 842.000 persone esposti a un ransomware
Chi: ASL Napoli 3 Sud Quando: Provvedimento n. 426 del 28 settembre 2023 Fonte: Garante Privacy, doc. web n. 9941232
Nel gennaio 2022, un attacco ransomware ha colpito i sistemi informativi della ASL, compromettendo i dati personali e sanitari di 842.000 tra assistiti e dipendenti. Il Garante ha accertato che l'accesso alla rete tramite VPN avveniva con semplice username e password, senza autenticazione a più fattori, e che la mancata segmentazione delle reti ha permesso la propagazione del virus all'intera infrastruttura.
Caso 5: €25.000 per software obsoleti dopo un attacco hacker
Chi: Azienda Ospedaliero-Universitaria (non identificata) Quando: Provvedimento del 17 ottobre 2024 Fonte: Garante Privacy, doc. web n. 10063782
Un attacco ransomware nel dicembre 2022, introdotto attraverso un PC con VPN aperta, ha compromesso la riservatezza, l'integrità e la disponibilità dei dati di dipendenti, consulenti e pazienti. Il Garante ha accertato l'utilizzo di software obsoleti per i quali non erano più previsti aggiornamenti di sicurezza, alert non attivi 24 ore su 24, e l'assenza di autenticazione a più fattori per l'accesso remoto.
Caso 6: €271.000 per l'attacco alla Regione Lazio
Chi: LAZIOcrea S.p.A. (società che gestisce i sistemi informativi della Regione Lazio) Quando: Provvedimento del 21 marzo 2024 Fonte: Garante Privacy, doc. web n. 10002324 e n. 10002533
Nella notte tra il 31 luglio e il 1 agosto 2021, un attacco ransomware ha reso inaccessibili circa 180 server virtuali, bloccando prenotazioni, pagamenti, ritiro referti e registrazione vaccinazioni per milioni di cittadini del Lazio. La Regione Lazio è stata sanzionata con 120.000 euro, LAZIOcrea con 271.000 euro e la ASL Roma 3 con 10.000 euro.
Il Garante ha accertato che LAZIOcrea non disponeva di misure adeguate a prevenire l'attacco né a gestirne le conseguenze.
Il principio: la società informatica è stata sanzionata più pesantemente della Regione perché, in quanto responsabile del trattamento dei dati, avrebbe dovuto garantire misure di sicurezza adeguate. Il GDPR prevede la responsabilità diretta del responsabile del trattamento (Art. 28).
Caso 7: €10.000 alla società informatica delle farmacie FVG
Chi: Promofarma Sviluppo S.r.l. Quando: Provvedimento del 20 ottobre 2022 Fonte: Garante Privacy, doc. web n. 9832507
La società informatica che gestiva un portale di prenotazione tamponi per le farmacie del Friuli Venezia Giulia aveva reso accessibili i dati delle prenotazioni (codice fiscale, nome, cognome, telefono) senza alcun meccanismo di autenticazione. Le 151 farmacie che utilizzavano il portale sono state esentate dalla responsabilità, in quanto il Garante ha riconosciuto che la violazione era imputabile al fornitore tecnologico.
Questo caso stabilisce un principio rilevante: quando la violazione è causata da un difetto del software o del servizio informatico, la responsabilità può ricadere sul fornitore tecnologico anziché sulla struttura utilizzatrice. Chi documenta di aver scelto il fornitore in buona fede e di aver agito non appena informato del problema si trova in una posizione giuridicamente più tutelata.
Caso 8: €400.000, la prima maxi-sanzione sanitaria in Europa
Chi: Hospital do Barreiro Montijo, Portogallo Quando: 2019 Fonte: CNPD (Autorità portoghese per la protezione dei dati)
Tutto il personale dell'ospedale, medici, infermieri e personale amministrativo, poteva accedere alle cartelle cliniche di qualsiasi paziente senza distinzione di ruolo o reparto. Nessun controllo sugli accessi, nessuna differenziazione dei permessi. L'autorità portoghese ha irrogato una sanzione di 400.000 euro, la prima maxi-sanzione GDPR in ambito sanitario nell'Unione Europea.
Il caso è stato citato dal Garante italiano nei propri procedimenti come precedente di riferimento.
Il denominatore comune
Sette degli otto casi sopra descritti riguardano lo stesso tipo di problema: accessi non controllati ai dati sanitari. Niente log degli accessi, niente profilazione per ruolo, niente alert per comportamenti anomali, niente cifratura, software obsoleti.
Sono problematiche trasversali al settore sanitario italiano, dalle grandi strutture ospedaliere alle realtà più piccole. Per le farmacie, che trattano quotidianamente dati sanitari di migliaia di pazienti, questi precedenti rappresentano un riferimento importante per valutare il proprio livello di conformità.
Le sanzioni in sintesi
| Caso | Violazione | Sanzione | Anno |
|---|---|---|---|
| ASL Alto Adige | Accessi al dossier senza controlli | €75.000 | 2024 |
| AOU Careggi, Firenze | Dossier accessibile a tutto il personale | €80.000 | 2025 |
| Clinica privata (Firenze) | Violazioni analoghe a Careggi | €12.000 | 2025 |
| USL Romagna | Bug software ignora oscuramento | €120.000 | 2021 |
| Prov. Autonoma Trento | Violazione diritto oscuramento | €150.000 | 2021 |
| ASL Napoli 3 Sud | Dati 842.000 persone esposti a ransomware | €30.000 | 2023 |
| AOU (anonima) | Software obsoleti dopo attacco hacker | €25.000 | 2024 |
| LAZIOcrea | Attacco Regione Lazio, misure inadeguate | €271.000 | 2024 |
| Regione Lazio | Concorso nell'attacco | €120.000 | 2024 |
| Promofarma (farmacie FVG) | Portale tamponi senza autenticazione | €10.000 | 2022 |
| Ospedale Portogallo | Cartelle accessibili senza controlli | €400.000 | 2019 |
Totale delle sanzioni documentate in questo articolo: oltre 1,3 milioni di euro.
La finestra temporale
Nessuna di queste sanzioni è arrivata a sorpresa. In ogni caso, il Garante ha prima ricevuto una segnalazione o una notifica di data breach, poi ha condotto un'istruttoria, infine ha irrogato la sanzione. Il processo richiede mesi, talvolta anni.
Il Garante, in sede sanzionatoria, valuta le misure adottate dal titolare del trattamento prima e dopo la scoperta del problema. Chi ha verificato la propria posizione, documentato le criticità e adottato le misure possibili, si trova in una posizione incomparabilmente migliore di chi non ha fatto nulla.
La differenza tra 10.000 euro e 150.000 euro, nei casi sopra descritti, sta quasi sempre nella stessa variabile: la buona fede dimostrata dal titolare e le azioni correttive intraprese.
Per approfondire le implicazioni di questi precedenti per la tua farmacia e valutare il tuo livello di conformità, contatta il nostro team per una valutazione gratuita.
