Il trattamento dei dati sanitari è uno degli ambiti più delicati della protezione dei dati personali. Il GDPR vieta in linea generale l’uso di queste informazioni, consentendolo solo in presenza di specifiche deroghe e rigorose garanzie. Le strutture sanitarie pubbliche possono operare in questo quadro solo se il trattamento è previsto dalla legge e accompagnato da misure adeguate a tutela dei diritti dei pazienti.
Il dossier sanitario elettronico, che raccoglie in un unico archivio la storia clinica dell’assistito, rappresenta uno strumento particolarmente sensibile. Proprio per questo il Garante per la protezione dei dati personali ha più volte richiamato l’attenzione sulla necessità di cautele tecniche e organizzative elevate, in linea con i principi di liceità, trasparenza, minimizzazione e sicurezza.
Un recente provvedimento ha evidenziato come carenze nella progettazione e nella gestione di questi sistemi possano tradursi in violazioni gravi del GDPR, esponendo dati altamente sensibili a rischi di accessi non autorizzati. Al centro delle contestazioni emergono anche il mancato rispetto dei principi di privacy by design e l’insufficienza delle misure di sicurezza informatica.
Il caso dimostra che l’innovazione digitale in sanità non può prescindere da una solida cultura della protezione dei dati, capace di coniugare tecnologia, responsabilità e tutela delle persone.
