Referto spedito alla e-mail sbagliata: semplice ammonimento per una struttura sanitaria privata

Semplice ‘cartellino giallo’ per la struttura sanitaria privata che per errore invia il referto di un paziente ad un indirizzo e-mail sbagliato.
Questa la decisione del ‘Garante per la privacy’ (provvedimento del 18 dicembre 2025) a chiusura del procedimento originato dalla segnalazione fatta da un privato cittadino, il quale ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte di uno studio fisiokinesiterapico – cui si era rivolto –, violazione avente ad oggetto la consegna a terze persone della propria documentazione sanitaria.
Nello specifico, il privato cittadino ha premesso di avere eseguito alcune analisi cliniche presso la struttura indicata e ha raccontato poi che il referto, che doveva essere spedito alla sua e-mail ordinaria, è stato spedito ad un altro indirizzo e-mail, differente per una sola lettera dal suo.
Purtroppo, il referto conteneva alcuni dati personali (nome, cognome, data di nascita e codice fiscale), che, quindi, sono stati inviati ad un destinatario sconosciuto, e, peraltro, mediante alcuni servizi web di verifica di e-mail, il privato cittadino ha constatato che l’indirizzo sbagliato esiste ed è funzionante, cosa che, a suo dire, ha reso ancora più grave la violazione compiuta dalla società. Società che si è giustificata, a fronte delle contestazioni mossegli dal ‘Garante’, rappresentando, in particolare, che l’errore è dipeso da un’incompleta fase di interfacciamento tra il software gestionale interno e il software del ‘laboratorio service’, e ciò ha impedito, a causa di un ‘bug’, l’utilizzo della corretta modalità di scarico online dei referti.
A causa di tale limitazione tecnica, la società ha spiegato di avere adottato una procedura limitata al tempo necessario a risolvere il problema ma con la semplice volontà di venire incontro alle esigenze degli utenti di ricevere gli esiti con celerità e senza ritornare in struttura, e ha poi aggiunto che il bug relativo al processo di interfacciamento tra i due sistemi è stato ottimizzato, rendendo pienamente operativa la procedura di trasmissione sicura dei referti in conformità con la normativa vigente.
Ciò detto, per il ‘Garante’ l’episodio risulta essere un fatto isolato e, sotto il profilo psicologico, privo di dolo, anche perché il titolare del trattamento ha implementato misure volte ad evitare la ripetizione della condotta segnalata dal privato cittadino.
Sufficiente, quindi, solo ammonire il titolare del trattamento dei dati, chiosa il ‘Garante’, il quale tiene però a ribadire che, in generale, i dati relativi alla salute richiedono particolare tutela, in quanto possono comportare rischi significativi per i diritti e le libertà fondamentali, e devono essere trattati adottando misure in grado di garantirne integrità, riservatezza e sicurezza.
E, peraltro, con precipuo riferimento alla spedizione dei referti tramite posta elettronica, il ‘Garante’ ripropone precise indicazioni a tutte le strutture pubbliche e private per assicurare che l’attività venga eseguita nel rispetto della disciplina in materia di protezione dei dati personali, stabilendo alcune cautele nel caso in cui il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’utente, tra cui la convalida degli indirizzi e-mail tramite apposita procedura di verifica on line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio.