La disciplina europea in materia di protezione dei dati personali, come delineata dal Regolamento (UE) 2016/679, si fonda su un presupposto strutturale ben preciso: la possibilità di governare il trattamento del dato. L’intero sistema dei diritti dell’interessato – accesso, rettifica, cancellazione, limitazione, opposizione – è costruito attorno all’idea che il dato, pur oggetto di circolazione, rimanga inserito in una filiera controllabile, nella quale è sempre possibile intervenire per ristabilire, almeno in parte, l’equilibrio violato.
Questo presupposto entra in tensione quando si considerano i dati sanitari oggetto di esfiltrazione e diffusione in contesti non governabili, quali i circuiti illeciti del dark web. In tali ipotesi, la perdita di controllo non è soltanto un effetto del data breach, ma una condizione irreversibile, che incide sulla struttura stessa della tutela giuridica predisposta dal GDPR. È qui che il caso assume un rilievo giuridico ben più ampio. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. La specificità ontologica del dato sanitario
- 2. Il data breach come evento vs. il data breach come condizione
- 3. L’inadeguatezza funzionale dei diritti dell’interessato
- 4. La ridefinizione del danno: dalla lesione puntuale all’esposizione permanente
- 5. L’adeguatezza delle misure di sicurezza alla luce della non sostituibilità del dato
- 6. La convergenza con la disciplina della sicurezza delle reti e dei sistemi informativi
- 7. Considerazioni conclusive
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. La specificità ontologica del dato sanitario
Il Regolamento qualifica i dati relativi alla salute come categorie particolari di dati personali (art. 9), sottoponendoli a un regime rafforzato di protezione. Tuttavia, tale qualificazione, pur rilevante, non esaurisce la specificità di questi dati.
Il dato sanitario si distingue, infatti, per una caratteristica ontologica: la non sostituibilità.
A differenza di altre categorie di dati personali – si pensi ai dati finanziari o alle credenziali di accesso – il dato sanitario non può essere modificato né revocato. Esso descrive condizioni biologiche, stati patologici, percorsi terapeutici, che appartengono in modo permanente alla sfera personale dell’interessato.
Questa non sostituibilità implica che la violazione non possa essere neutralizzata attraverso strumenti correttivi. Non esiste una misura equivalente alla “revoca” del dato. Ne deriva che l’impatto della violazione non è temporaneo, ma strutturalmente proiettato nel tempo. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Il data breach come evento vs. il data breach come condizione
Nel modello GDPR, il data breach è concepito come un evento, rispetto al quale si attivano obblighi di notifica (artt. 33 e 34), misure di contenimento e, se del caso, responsabilità risarcitoria.
Nel caso dei dati sanitari esfiltrati e diffusi in contesti non controllabili, tale qualificazione si rivela inadeguata. Il breach non si esaurisce nell’evento iniziale, ma si trasforma in una condizione permanente.
Il dato continua a circolare, essere replicato, aggregato e riutilizzato, al di fuori di qualsiasi controllo giuridico effettivo. L’interessato non perde soltanto il controllo sul trattamento, ma perde la possibilità stessa di ricondurre il dato a un perimetro giuridicamente governabile.
Si determina, in tal modo, una frattura tra la dimensione temporale del diritto e quella tecnologica del fenomeno: mentre il diritto continua a trattare il breach come un evento circoscritto, la realtà lo trasforma in una condizione permanente.
3. L’inadeguatezza funzionale dei diritti dell’interessato
Questa trasformazione incide direttamente sull’effettività dei diritti riconosciuti agli interessati.
Il diritto alla cancellazione (art. 17 GDPR) presuppone la possibilità di intervenire sul trattamento. Tuttavia, una volta che il dato sia stato sottratto e diffuso in contesti illeciti, la cancellazione diventa giuridicamente limitata e, sul piano sostanziale, inefficace.
Analogamente, i diritti di limitazione del trattamento (art. 18) e di opposizione (art. 21) presuppongono l’esistenza di un soggetto identificabile nei confronti del quale esercitare tali prerogative. Nei circuiti del dark web, tale presupposto viene meno.
Ne deriva che i diritti dell’interessato, pur formalmente intatti, risultano funzionalmente incapaci di ristabilire la situazione antecedente alla violazione.
Il sistema continua a offrire strumenti di controllo, ma tali strumenti operano in un contesto in cui il controllo è, di fatto, perduto.
4. La ridefinizione del danno: dalla lesione puntuale all’esposizione permanente
Le criticità descritte si riflettono in modo particolarmente significativo sul piano della responsabilità e del danno risarcibile.
L’art. 82 GDPR riconosce il diritto al risarcimento per i danni materiali e immateriali derivanti da una violazione del Regolamento. La giurisprudenza europea e nazionale ha progressivamente ampliato la nozione di danno non patrimoniale, includendo anche pregiudizi non strettamente economici.
Tuttavia, nel caso dei dati sanitari, la categoria tradizionale del danno non patrimoniale appare, ancora una volta, insufficiente.
Non si è di fronte soltanto a una lesione della riservatezza o a un pregiudizio morale. Si è di fronte a una condizione di esposizione permanente a rischi futuri:
- discriminazioni in ambito lavorativo
- limitazioni nell’accesso a servizi assicurativi
- stigmatizzazione sociale
- utilizzi impropri dei dati in contesti imprevedibili
Il danno non si esaurisce in un evento, ma si protrae nel tempo. Non è interamente attuale, ma non è neppure meramente eventuale.
Questa configurazione impone una riflessione sulla possibilità di riconoscere una forma di danno da esposizione permanente, inteso come perdita irreversibile del controllo sui possibili sviluppi futuri del pregiudizio.
Si tratta di una categoria che sfugge alle tradizionali distinzioni tra danno emergente, lucro cessante e danno non patrimoniale, e che richiede un adattamento degli strumenti di valutazione e quantificazione.
5. L’adeguatezza delle misure di sicurezza alla luce della non sostituibilità del dato
La specificità dei dati sanitari incide anche sulla valutazione delle misure di sicurezza richieste al titolare del trattamento.
L’art. 32 GDPR adotta un approccio basato sul rischio, imponendo misure “adeguate” in relazione alla probabilità e alla gravità del rischio per i diritti e le libertà delle persone fisiche.
Nel caso dei dati sanitari, la gravità del rischio è intrinsecamente elevata, in ragione della loro non sostituibilità e delle conseguenze irreversibili di una violazione.
Ne deriva che il parametro dell’adeguatezza non può essere interpretato in modo uniforme. Le misure di sicurezza devono essere calibrate non solo sulla probabilità dell’attacco, ma anche sulla qualità del dato e sulla natura del danno potenziale.
Questo comporta, sul piano operativo:
- l’adozione di standard di sicurezza più elevati
- una maggiore attenzione alla segmentazione dei dati
- sistemi avanzati di monitoraggio e risposta agli incidenti
- una governance del rischio che coinvolga i livelli apicali dell’organizzazione
In tale prospettiva, il principio di accountability assume una dimensione sostanziale: non è sufficiente dimostrare di aver adottato misure, ma occorre dimostrare che tali misure siano adeguate alla specificità del trattamento sanitario.
6. La convergenza con la disciplina della sicurezza delle reti e dei sistemi informativi
La Direttiva (UE) 2022/2555 (NIS2), qualificando il settore sanitario come essenziale, introduce obblighi stringenti in materia di gestione del rischio e sicurezza informatica.
La rilevanza di tale disciplina, nel contesto dei dati sanitari, va oltre il piano della compliance tecnica. Essa contribuisce a ridefinire il contenuto della diligenza richiesta alle strutture sanitarie, rafforzando l’idea che la sicurezza dei dati non sia un profilo accessorio, ma un elemento strutturale della tutela dei diritti fondamentali.
La violazione degli obblighi NIS2 può, quindi, assumere rilievo anche ai fini dell’accertamento della responsabilità civile, in quanto indice di inadeguatezza organizzativa.
7. Considerazioni conclusive
La diffusione illecita dei dati sanitari in contesti non governabili mette in evidenza un limite strutturale del modello di tutela delineato dal GDPR: la sua dipendenza dal paradigma del controllo.
Quando il controllo è definitivamente perduto, i diritti costruiti per esercitarlo perdono gran parte della loro efficacia.
Ciò impone un ripensamento della tutela, che non può più essere affidata esclusivamente ai diritti dell’interessato, ma deve spostarsi a monte, rafforzando gli obblighi organizzativi e le misure di prevenzione.
Il dato sanitario, una volta fuoriuscito, non può essere recuperato. Il diritto può soltanto decidere se continuare a operare come se ciò fosse possibile, oppure riconoscere l’irreversibilità del fenomeno e adeguare le proprie categorie.
La seconda opzione appare non solo preferibile, ma necessaria per garantire una tutela effettiva in un contesto tecnologico che ha definitivamente superato i presupposti su cui il sistema era stato costruito.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento