Nel secondo trimestre del 2025, il totale delle sanzioni comminate in Europa per violazioni al GDPR ha raggiunto un nuovo massimo storico: oltre 6,2 miliardi di euro. Un dato che non lascia spazio a dubbi: siamo entrati in una nuova fase dell’enforcement, più severa, sistematica e mirata.
Le autorità garanti – in Italia e in tutta l’Unione – stanno rispondendo con crescente rigore alle segnalazioni, con particolare attenzione ai settori che trattano dati “a rischio elevato”. Al centro del mirino? Ancora una volta, la sanità.
Anche se il numero assoluto di sanzioni verso aziende sanitarie è inferiore rispetto a quello di e-commerce o marketing, l’importo medio delle multe è tra i più elevati.
- 87 provvedimenti in Italia contro strutture sanitarie solo nel 2024–2025, per un totale di oltre 22 milioni di euro.
- Importo medio per struttura: oltre € 200.000 per mancata adozione delle misure tecniche e organizzative minime (TOMs).
Le violazioni più frequenti non riguardano solo il consenso o la privacy policy. Anzi, il cuore delle sanzioni è spesso tecnico e organizzativo:
Accessi non controllati ai dossier sanitari
Mancata pseudonimizzazione dei dati usati per ricerca
Referti e cartelle cliniche lasciati incustoditi
Assenza di valutazione d’impatto (DPIA) per nuovi strumenti digitali
Invii non cifrati di elenchi con dati sanitari a soggetti non autorizzati
Le sanzioni mostrano che non è sufficiente avere una modulistica aggiornata o un’informativa leggibile: oggi si valuta l’intero ecosistema privacy della struttura, dalla governance interna alla formazione dei dipendenti, dalla sicurezza IT alla tracciabilità dei dati.
Molte cliniche, poliambulatori, case di cura o studi associati lavorano con attenzione e professionalità. Ma basta un singolo errore, o un collaboratore poco formato, per generare un danno economico e reputazionale.
OKPrivacy, il servizio privacy del network legale Consulcesi & Partners, è nato per accompagnare proprio le realtà sanitarie nella gestione integrata e strategica della privacy, garantendo compliance con il GDPR e le normative nazionali.
Non aspettare un’ispezione o una segnalazione. Affidati a professionisti che parlano il tuo linguaggio e conoscono le esigenze del settore sanitario.