Sanità: record di sanzioni per inadempimenti al GDPR

GDPR: il secondo trimestre 2025 segna un record di sanzioni in Europa

Il 2025 segna una svolta importante nell’applicazione del Regolamento Europeo per la Protezione dei Dati (GDPR). Nel solo secondo trimestre dell’anno, le multe comminate dalle autorità garanti europee hanno superato i 6,2 miliardi di euro: una cifra mai raggiunta prima, che conferma un cambio di passo deciso nelle attività di controllo e sanzione.

Non siamo più nella fase della “tolleranza educativa” tipica dei primi anni dopo l’entrata in vigore del GDPR. Oggi le autorità, in Italia come negli altri Paesi membri, mostrano un approccio molto più strutturato e severo, con verifiche approfondite e mirate soprattutto ai settori che gestiscono dati particolarmente sensibili.

Il settore sanitario sotto osservazione

Ancora una volta, il comparto più esposto è quello della sanità, che per natura tratta dati appartenenti alle categorie particolari definite dall’art. 9 GDPR. Se il numero di provvedimenti non è elevato quanto in altri ambiti (ad esempio marketing e commercio elettronico), l’impatto economico delle sanzioni è nettamente superiore.

In Italia, tra il 2024 e il 2025, sono stati registrati 87 provvedimenti contro strutture sanitarie, per un totale che supera i 22 milioni di euro. Ciò significa una media di oltre 200.000 euro per violazione, con contestazioni legate quasi sempre alla mancata adozione di adeguate misure tecniche e organizzative, come previsto dall’art. 32 del GDPR.

Le criticità più frequenti

Non si tratta solo di informative mancanti o consensi poco chiari. Le violazioni più sanzionate hanno a che fare con aspetti molto concreti e quotidiani della gestione dei dati:

• accessi non autorizzati ai fascicoli sanitari;

• assenza di pseudonimizzazione nei dati utilizzati a fini di ricerca;

• documenti clinici lasciati incustoditi;

• mancanza di una valutazione d’impatto (DPIA) per l’introduzione di nuove tecnologie;

• trasmissione di elenchi contenenti dati sensibili senza adeguata cifratura o a destinatari non legittimati.

Si tratta di errori che spesso nascono non da cattiva volontà, ma da una sottovalutazione della complessità del sistema di protezione richiesto dal GDPR.

Non basta la modulistica

Un elemento chiaro emerge dall’analisi dei provvedimenti: non è sufficiente avere l’informativa aggiornata sul sito o un registro dei trattamenti compilato. Le autorità valutano l’intero ecosistema privacy di una realtà: dalla governance interna ai processi di gestione, dalla sicurezza informatica alla formazione del personale. In altre parole, la conformità non è un adempimento formale, ma un percorso che richiede consapevolezza, organizzazione e monitoraggio costante.

Un rischio concreto per le strutture

Cliniche, poliambulatori, case di cura e studi associati operano spesso con serietà e grande professionalità. Tuttavia, basta un errore procedurale o un collaboratore poco formato per aprire la strada a una sanzione pesante, con conseguenze economiche ma anche reputazionali. Il principio di accountability, cardine del GDPR, rende infatti i titolari del trattamento pienamente responsabili delle scelte organizzative e delle misure di sicurezza adottate.

Non solo grandi organizzazioni

Anche un singolo professionista è chiamato ad adempiere alle indicazioni imposte dalla normativa. Il GDPR riguarda anche piccoli studi medici, medici generici o specialisti, medici del lavoro, etc.

Conclusioni

L’aumento esponenziale delle sanzioni dimostra che la protezione dei dati personali non è più un tema accessorio ma una priorità strategica per ogni organizzazione. Investire nella formazione, nella revisione dei processi e nell’adozione di soluzioni tecniche adeguate non significa solo ridurre il rischio di multe, ma anche rafforzare la fiducia di pazienti, clienti e partner.

VERIFICA SUBITO IL TUO STATO DI COMPLIANCE AL GDPR. CONTATTACI, CLICCANDO QUI.