Con l’ordinanza del 25 settembre 2025, il Garante per la protezione dei dati personali ha sanzionato l’Azienda Ospedaliero-Universitaria di Ferrara per il trattamento illecito dei dati sanitari di una propria dipendente. Il caso nasce da un reclamo che ha fatto emergere l’accesso non autorizzato al dossier sanitario dell’interessata e la successiva diffusione di informazioni cliniche tra colleghi tramite WhatsApp.
Pur essendo le azioni materiali riconducibili a singoli dipendenti, il Garante ha attribuito la responsabilità all’Azienda in qualità di titolare del trattamento. L’istruttoria ha infatti evidenziato gravi carenze organizzative e di sicurezza, tra cui l’uso di utenze interne generiche e condivise, che hanno reso impossibile garantire la tracciabilità degli accessi e il rispetto dei principi di riservatezza e integrità previsti dal GDPR.
Il provvedimento ribadisce che i dati sanitari, in quanto particolarmente sensibili, richiedono misure di protezione rafforzate e che le violazioni non possono essere liquidate come semplici “errori umani”. È il titolare del trattamento a dover prevenire i rischi, formare il personale e dimostrare concretamente la propria accountability.
Oltre a una sanzione di 20.000 euro, il Garante ha imposto misure correttive e la pubblicazione del provvedimento, con una chiara funzione dissuasiva per tutto il settore sanitario.
