Dati sanitari diffusi per errore: il Garante ammonisce l’Ausl Romagna

Un cambio turno diventa un caso Privacy: decisivo l’intervento del NurSind a tutela del lavoratore

Un semplice cambio turno, una mail interna, un dato sanitario che non doveva circolare. È così che un episodio apparentemente banale si è trasformato in un caso emblematico di violazione della privacy in ambito sanitario, conclusosi con l’ammonimento formale dell’Ausl Romagna da parte del Garante per la Protezione dei Dati Personali. Una vicenda che segna un prima e un dopo e che vede in primo piano il ruolo determinante del NurSind, ancora una volta schierato a difesa dei professionisti sanitari.

#privacy #sanità #datisensibili #dirittilavoratori #NurSind #infermieri #garanteprivacy

La storia prende avvio il 20 giugno 2024, quando un lavoratore sanitario, per esigenze organizzative, invia una mail al coordinatore e a una collega per chiedere un cambio turno. In quella comunicazione, senza che fosse richiesto e senza precedenti analoghi, il dipendente indica anche la propria patologia, collegandola alla necessità di una visita di controllo. Un’informazione estremamente delicata che, di lì a poco, sarebbe uscita dal perimetro ristretto per cui era stata pensata.

Il 2 luglio, infatti, per un errore umano, il coordinatore inoltra la mail all’intera équipe: sedici colleghi vengono così a conoscenza di un dato sanitario altamente sensibile. La segnalazione del lavoratore è immediata, ma i tentativi di rimediare peggiorano la situazione. La richiesta di cancellazione del messaggio viene inviata includendo nuovamente il testo originario, amplificando di fatto la diffusione dell’informazione. Solo con una terza mail si chiede la cancellazione definitiva di tutte le comunicazioni precedenti.

Il caso viene segnalato internamente come data breach, mentre il lavoratore, assistito dal NurSind di Ravenna e dal legale del sindacato, decide di presentare un reclamo formale al Garante della Privacy. Una scelta che si rivelerà decisiva.

Il NurSind ha ribadito con forza che la tutela della riservatezza non è un dettaglio burocratico, ma un diritto fondamentale del lavoratore sanitario, ancor più quando riguarda informazioni sulla salute.

Per il sindacato delle professioni infermieristiche, nessuna esigenza organizzativa può giustificare la diffusione di dati clinici, anche se avvenuta in un contesto interno.

Nel procedimento avviato il 22 aprile 2025, l’Ausl Romagna ha riconosciuto l’episodio, definendolo “lieve” e isolato, sottolineando che l’informazione sanitaria non era stata richiesta al dipendente. Ha inoltre evidenziato di aver attivato, già il 27 marzo 2025, una specifica attività di formazione e sensibilizzazione sul tema dei data breach, alla quale ha partecipato anche il coordinatore coinvolto.

Il Garante, pur riconoscendo l’assenza di dolo, ha chiarito un principio fondamentale: “la pur legittima esigenza di organizzare con celerità i turni di lavoro in contesti ospedalieri non può giustificare la circolazione di informazioni di dettaglio relative alla sintomatologia sofferta dai lavoratori”. È stata quindi accertata una illiceità nel trattamento dei dati personali, seppur con carattere colposo, limitata a un singolo episodio e senza precedenti analoghi.

Per il NurSind questo provvedimento rappresenta un segnale chiaro per tutte le aziende sanitarie: la privacy dei professionisti non è negoziabile e va tutelata con procedure chiare, formazione continua e responsabilità precise.

L’ammonimento all’Ausl Romagna non è solo una sanzione morale, ma un monito per l’intero sistema sanitario. In un contesto in cui le comunicazioni digitali sono quotidiane e frenetiche, basta un clic sbagliato per violare un diritto fondamentale. Ed è proprio in questi passaggi che emerge il valore dell’azione sindacale: senza l’intervento del NurSind, questo caso sarebbe probabilmente rimasto confinato a un errore interno, senza conseguenze né insegnamenti.