[doc. web n. 10262455]

Provvedimento del 28 maggio 2026

Registro dei provvedimenti
n. 385 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e l’avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX, XX ha presentato reclamo, per il tramite della Onlus LILA, nei confronti della Croce Rossa Italiana – Comitato regionale Toscana – Presidio Anna Torrigiani, lamentando una violazione della disciplina in materia di protezione dei dati personali verificatasi durante il suo ricovero nel reparto di ortopedia.

In particolare, la reclamante ha rappresentato che, dopo aver “all’atto del ricovero nel reparto di ortopedia (…) reso noto al medico di guardia del reparto e all’infermiera (…) la propria condizione di persona con HIV e HCV”, il giorno successivo “si è vista recapitare il vassoio del pranzo e quello della cena con un foglio su cui era appuntata la sua condizione di persona con HIV e HCV”, oltre al nome e cognome sul vassoio del pranzo. La stessa ha inoltre precisato di aver chiesto “chiarimenti alla Direzione Sanitaria del Presidio Anna Torrigiani e al Primario del reparto Ortopedia (…), senza ricevere a oggi alcun riscontro”.

Nell’ambito dell’attività istruttoria, con nota del XX, prot. n. XX, l’Autorità ha chiesto all’Associazione, ai sensi dell’art. 157 del Codice, elementi informativi utili alla valutazione del caso. La richiesta è stata trasmessa, via raccomandata, all’indirizzo via di Camerata n. 10, 50133 Firenze, e risulta ritualmente notificata in data XX. Non essendo pervenuto alcun riscontro, con nota del XX, prot. n. XX, è stato comunicato all’Associazione l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, contestando la violazione dell’art. 157 del Codice, ai sensi dell’art. 166, comma 5, del medesimo Codice.

Con nota del XX, l’Associazione ha fornito riscontro alla richiesta di informazioni dell’Autorità, senza tuttavia produrre scritti difensivi in relazione alla contestazione di cui alla citata nota del XX. In particolare, il titolare del trattamento ha dichiarato, tra l’altro, che:

- “nello specifico dell’accaduto, (…) la ditta del vitto, anche se esterna, ha una cucina interna. Pertanto ciò ci agevola a far sì che le informazioni rimangano in un ambito ristretto alla Struttura e che il personale della cucina (non soggetto a continue movimentazioni), viene considerato dal Presidio come addetto all’assistenza dei degenti e conseguenzialmente informato di eventuali rischi biologici”; 

- “l’informazione sulle condizioni della paziente era stata riportata sul modulo del reclamo destinato esclusivamente alla cucina per pre-allertare il personale addetto allo sporzionamento (che viene in contatto con i pazienti), ad usare le misure protettive/preventive del caso (es. utilizzo stoviglie monouso)”; 

- “a seguito del reclamo verbale della paziente in reparto, abbiamo provveduto a modificare il modulo di richiesta vitto, mettendo esclusivamente nelle note la dicitura ‘stoviglie monouso’. Ci scusiamo sentitamente con la sig.ra (…) per l’accaduto e prenderemo ulteriori provvedimenti per evitare il ripetersi di situazioni del genere”. 

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione ai sensi dell’art. 166, comma 5, del Codice

In relazione ai fatti descritti nel reclamo, con nota del XX, prot. n. XX, l’Ufficio ha comunicato all’Associazione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un nuovo procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità, ai sensi dell’art. 166, commi 6 e 7, del Codice, nonché dell’art. 18, comma 1, della legge 24 novembre 1981, n. 689.

In particolare, nell’atto di avvio l’Autorità ha ritenuto che l’Associazione avesse effettuato un trattamento di dati relativi alla salute e all’infezione da HIV in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. c) e f), e 9 del Regolamento, nonché dell’art. 75 del Codice.

L’Associazione ha prodotto le proprie memorie difensive con nota del XX, dichiarando che:

- “a seguito dell’accaduto il Direttore Sanitario ha provveduto a convocare sia il personale del reparto interessato che il responsabile della mensa per chiarire meglio la dinamica della vicenda e provvedere ad adottare le misure di tutela dei dati personali volti ad evitare che casi analoghi possano ripetersi. La mensa è un servizio interno al Presidio Anna Torrigiani che comunica costantemente con il personale di reparto al fine di garantire il servizio adeguato e necessario ad ogni paziente, nel rispetto di tutte le prescrizioni mediche e di tutela dei dati personali dei pazienti. È la prima volta che nel Presidio si verifica la spiacevole situazione oggetto di reclamo. La violazione contestata ha interessato, da quanto è emerso dalla richiesta di spiegazioni del Direttore al personale, il medico di guardia e l’infermiera a cui la paziente ha comunicato la sua condizione e la referente mensa che si è occupata di preparare il vassoio del pranzo e appoggiare dentro il foglietto con l’informazione sullo stato della paziente. La stanza di degenza era occupata da XX e da un’altra paziente, che da quanto comunicato dal personale interessato non sarebbe venuta a conoscenza dell’accaduto. La causa della violazione è stata eliminata a seguito di segnalazione”; 

- “l’apposizione del biglietto nel vassoio è da imputarsi ad un errore involontario e del tutto isolato. Come premesso i vertici del Presidio Anna Torrigiani hanno provveduto a convocare tutto il personale coinvolto e ad accertarsi che tutto il flusso di informazioni per il futuro sia effettuato nel rispetto della privacy. Oltre ad aver stilato una policy sulla privacy del Presidio, che descrive il modello organizzativo applicato nella Struttura e le procedure inerenti la tutela della privacy, il documento è stato diffuso tra tutto il personale e pubblicata sul sito internet della struttura. (…) È stato programmato un corso di formazione che sarà realizzato entro il mese di marzo p.v. per il personale del Presidio Anna Torrigiani ed è presente sul sito una mail dedicata alle segnalazioni di violazione dei dati personali”; 

- “il Presidio Anna Torrigiani e il suo personale sono dispiaciuti per l’accaduto ed evidenziano la sensibilità dell’Associazione tutta verso il tema della HIV oggetto di campagne di sensibilizzazione su tutto il territorio nazionale ed internazionale volte ad evitare la stigmatizzazione e trattamenti ingiusti (…)”. 

3. 3. Inquadramento giuridico e valutazioni dell’Autorità

3.1. Quadro giuridico applicabile

Preso atto di quanto rappresentato dall’Associazione nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento); 

2. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati personali, tra cui quello di “minimizzazione”, secondo il quale i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, e quello di “integrità e riservatezza”, secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza”, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali (art. 5, par. 1, lett. c) e f), del Regolamento); 

3. in ambito sanitario, le informazioni sullo stato di salute possono essere comunicate all’interessato e, a terzi, solo sulla base di un idoneo presupposto giuridico (art. 9 del Regolamento); 

4. il legislatore ha previsto una tutela rafforzata per il trattamento dei dati relativi all’infezione da HIV, stabilendo l’obbligo, a carico dell’operatore sanitario e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione da HIV, di prestare la necessaria assistenza adottando le misure occorrenti per la tutela della riservatezza della persona assistita, nonché ogni misura o accorgimento necessario alla tutela dei diritti e della dignità della persona (art. 5, comma 1, legge 5 giugno 1990, n. 135, recante “Programma di interventi urgenti per la prevenzione e la lotta contro l’AIDS”). Sul punto, cfr. anche Cass. civ., sez. III, 30 gennaio 2009, n. 2468, secondo cui “A norma della cit. L. art. 5, comma 1, è onere del personale sanitario dimostrare di avere adottato tutte le misure occorrenti allo scopo di garantire il diritto del paziente alla riservatezza e di evitare che i dati relativi all’esito del test ed alle condizioni di salute del paziente medesimo possano pervenire a conoscenza dei terzi”. Le predette disposizioni rientrano nelle specifiche norme di settore fatte salve dall’art. 75 del Codice, che disciplina le condizioni del trattamento dei dati personali per finalità di tutela della salute in ambito sanitario; 

5. il Garante ha più volte richiamato l’attenzione sul sopra delineato regime di riservatezza, sia nell’ambito di diversi interventi — cfr., ex multis, provv. recante “Prescrizioni concernenti la raccolta d’informazioni sullo stato di sieropositività dei pazienti da parte degli esercenti le professioni sanitarie” del 12 novembre 2009, n. 35, doc. web n. 1673588; provv. 16 settembre 2021, n. 328, doc. web n. 9722297; provv. 10 giugno 2021, n. 239, doc. web n. 9677521; provv. 6 giugno 2024, n. 337, doc. web n. 10039453 — sia qualificando i dati relativi all’infezione da HIV tra quelli soggetti “a maggiore tutela dell’anonimato” (cfr. parere 22 maggio 2014, doc. web n. 3230826, e provv. 4 giugno 2015, doc. web n. 4084632); 

6. il d.m. 28 settembre 1990, che ha dato attuazione all’art. 7 della citata legge n. 135/1990, ha previsto specifiche disposizioni per la protezione dal contagio professionale da HIV nelle strutture sanitarie e assistenziali, pubbliche e private. Il decreto evidenzia che, non essendo possibile identificare con certezza tutti i pazienti affetti da HIV, le misure di protezione dal contagio devono essere adottate, con riferimento alle attività prestate nelle strutture sanitarie e assistenziali, pubbliche e private, nei confronti di ogni soggetto sottoposto a cure, a prescindere dalla conoscenza del suo stato di sieropositività (cfr. premesse e art. 1); 

7. nell’ambito dei poteri di cui all’art. 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti, anche con riferimento al contenuto di banche dati (artt. 157 e 166, comma 2, del Codice). 

Tenuto conto che le violazioni contestate riguardano il medesimo titolare del trattamento, è disposta la riunione dei due procedimenti istruttori, ai sensi dell’art. 10, comma 4, del Regolamento del Garante n. 1/2019.

3.2. Dichiarazione in ordine alla illiceità del trattamento

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze ovvero produca atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, gli elementi forniti dalla Croce Rossa Italiana – Comitato regionale Toscana – Presidio Anna Torrigiani, in qualità di titolare del trattamento, non sono idonei a consentire l’archiviazione dei presenti procedimenti, né a superare i rilievi notificati dall’Ufficio con i citati atti di avvio.

In particolare, l’indicazione, nell’ambito del servizio di vitto, della condizione di HIV e HCV della paziente, unitamente al nome e cognome della stessa, non risulta giustificata dalla necessità di attivare specifiche misure di protezione per il personale. Come sopra evidenziato, infatti, la normativa di settore prevede che, stante l’impossibilità di conoscere con certezza lo stato di sieropositività dei pazienti, le misure di protezione debbano essere adottate in via generale nei confronti di ogni soggetto sottoposto a cure.

Quanto al mancato riscontro alla richiesta di informazioni formulata ai sensi dell’art. 157 del Codice, non è stata fornita alcuna giustificazione.

L’Associazione ha pertanto effettuato un trattamento in violazione dei principi di base di cui agli artt. 5, par. 1, lett. c) e f), e 9 del Regolamento, dell’art. 75 del Codice, in relazione al mancato rispetto delle disposizioni di cui alla legge n. 135/1990, nonché dell’art. 157 del Codice.

Per tali ragioni, deve essere dichiarata l’illiceità del trattamento di dati personali effettuato dall’Associazione, nei termini di cui in motivazione.

In tale quadro, considerato che la condotta ha esaurito i propri effetti e tenuto conto che il titolare ha dichiarato di aver sensibilizzato il personale coinvolto sul necessario rispetto della disciplina vigente, non ricorrono, allo stato, i presupposti per l’adozione di misure correttive ai sensi dell’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie

La violazione degli artt. 5, par. 1, lett. c) e f), e 9 del Regolamento, nonché degli artt. 75 e 157 del Codice, derivante dalle condotte poste in essere dalla Croce Rossa Italiana – Comitato regionale Toscana – Presidio Anna Torrigiani, comporta l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i), del Regolamento e dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”, mediante l’adozione di un’ordinanza-ingiunzione ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689.

Nel caso di specie, il titolare del trattamento ha posto in essere due condotte distinte: da un lato, il mancato rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali, di cui all’art. 5, par. 1, lett. c) e f), dell’art. 9 del Regolamento e della disciplina specifica relativa all’HIV, fatta salva dall’art. 75 del Codice; dall’altro, il mancato adempimento dell’obbligo di fornire informazioni al Garante ai sensi dell’art. 157 del Codice. Tali condotte devono essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative applicabili.

4.1. Mancato rispetto dei principi di minimizzazione, integrità e riservatezza dei dati personali, dell’art. 9 del Regolamento e dell’art. 75 del Codice

Nel calcolo della sanzione amministrativa, in applicazione dell’art. 83, par. 3, del Regolamento, si considerano unitariamente le violazioni di cui agli artt. 5, par. 1, lett. c) e f), e 9 del Regolamento, nonché dell’art. 75 del Codice, in quanto riferite a un unico trattamento (Linee guida 04/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR, versione 2.0, adottata il 24 maggio 2023, par. 3.1.2, punto 39).

Il livello di gravità della violazione, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g), del Regolamento, deve ritenersi alto, tenuto conto della categoria dei dati oggetto della violazione, ossia informazioni sulla salute e, in particolare, dati sottoposti a maggiore tutela. Tale valutazione tiene comunque conto dell’assenza di dolo nella condotta del titolare.

Sono stati inoltre valutati, oltre ai dati contabili, gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che:

- il titolare del trattamento si è immediatamente attivato per attenuare gli effetti negativi della violazione (art. 83, par. 2, lett. c), del Regolamento); 

- il titolare del trattamento non ha commesso precedenti violazioni pertinenti (art. 83, par. 2, lett. e), del Regolamento); 

- l’Autorità ha avuto conoscenza della violazione a seguito di reclamo (art. 83, par. 2, lett. h), del Regolamento); 

- la Croce Rossa Italiana, organizzazione alla quale appartiene il Presidio Anna Torrigiani, svolge compiti di interesse pubblico, è ausiliaria dei pubblici poteri nel settore umanitario ed è posta sotto l’alto Patronato del Presidente della Repubblica (art. 1, d.lgs. 28 settembre 2012, n. 178); 

- non vi è prova che la paziente che occupava la stessa stanza di degenza della reclamante sia venuta a conoscenza dell’accaduto (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, per la condotta tenuta dal titolare del trattamento in violazione degli artt. 5, par. 1, lett. c) e f), e 9 del Regolamento, nonché dell’art. 75 del Codice, si ritiene di determinare l’ammontare della sanzione amministrativa pecuniaria nella misura di euro 500,00, tenuto conto che la sanzione deve essere, in ogni singolo caso, effettiva, proporzionata e dissuasiva, ai sensi dell’art. 83, par. 1, del Regolamento.

4.2. Mancato riscontro alla richiesta di informazioni ai sensi dell’art. 157 del Codice

Con riferimento alla violazione dell’art. 157 del Codice, soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento, ai sensi dell’art. 166, comma 2, del Codice, il livello di gravità della violazione, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g), del Regolamento, deve ritenersi medio.

Sono stati altresì considerati l’assenza di precedenti violazioni pertinenti commesse dal titolare e i particolari compiti svolti dall’Associazione (art. 83, par. 2, lett. e) e k), del Regolamento).

Alla luce di quanto sopra, valutati nel loro complesso gli elementi rilevanti, per la condotta tenuta dal titolare del trattamento in violazione dell’art. 157 del Codice si ritiene di determinare l’ammontare della sanzione amministrativa pecuniaria nella misura di euro 200,00.

4.3. Valutazioni aggiuntive e sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione

Tenuto conto della natura dei dati relativi alla salute oggetto della vicenda, si ritiene altresì che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, debba procedersi alla pubblicazione del presente capo, contenente l’ordinanza-ingiunzione, sul sito Internet del Garante.

Ricorrono, inoltre, i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si informa, infine, che copia del presente provvedimento verrà pubblicata sul sito web della scrivente Autorità, ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dalla Croce Rossa Italiana – Comitato regionale Toscana - Presidio Anna Torrigiani, con sede in Via di Camerata, 10, 50133, Firenze, Partita Iva 06627070482, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. c) e f), 9 del Regolamento nonché degli artt. 75 e 157 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, nonché dell’art. 166 del Codice, alla medesima Associazione, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 700, 00 (settecento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento.

INGIUNGE

alla predetta Associazione di pagare la somma di euro 700,00 (settecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come sotto indicato.

DISPONE 

a) ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori