© 2026 soluzioni per aziende e professionisti

Giugno 8, 2026

Ruolo, funzioni e responsabilità del DPO nelle strutture sanitarie

  1. Premessa
    Le strutture sanitarie, pubbliche e private, trattano in modo sistematico e su larga scala dati sanitari, che rientrano tra le categorie particolari di dati personali e incidono direttamente su diritti e libertà fondamentali degli interessati.
    In questo contesto, la figura del Data Protection Officer (DPO) assume un ruolo centrale nella governance della protezione dei dati: da un lato, il GDPR e il Codice Privacy impongono la nomina del DPO in presenza di determinati presupposti (in particolare trattamenti su larga scala di dati particolari); dall’altro, al DPO vengono attribuiti compiti di consulenza, sorveglianza e raccordo con l’Autorità di controllo, pur senza trasferirgli la responsabilità sostanziale dei trattamenti, che resta in capo al titolare e all’eventuale responsabile del trattamento.
    Nel settore sanitario, tali profili si intrecciano con trattamenti complessi (cartella clinica elettronica, fascicolo/dossier sanitario, telemedicina, ricerca scientifica, servizi informatici esternalizzati), che richiedono monitoraggio regolare e sistematico su larga scala e l’adozione di misure tecniche e organizzative rafforzate.
    Nel presente lavoro si analizzerà:
  2. l’obbligo di nomina del DPO nelle strutture sanitarie;
  3. la posizione organizzativa e i requisiti di indipendenza;
  4. i compiti tipici del DPO, con attenzione al contesto sanitario;
  5. il regime di responsabilità del DPO e la ripartizione delle responsabilità con titolare e responsabile del trattamento.
  6. Obbligo di nomina del DPO nelle strutture sanitarie

2.1. Regola generale nel GDPR
Il GDPR prevede l’obbligo di nominare un DPO quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art. 37 par. 1 lett. b GDPR) e quando le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e reati (art. 37 par. 1 lett. c GDPR).
Le strutture sanitarie, per la loro natura, svolgono come attività principale il trattamento su larga scala di dati sanitari, che rientrano tra le categorie particolari di dati personali.

2.2. Obbligo nelle strutture sanitarie pubbliche
Le strutture sanitarie pubbliche (es. aziende sanitarie locali, ospedali pubblici) rientrano tra le autorità e organismi pubblici che sono obbligati alla nomina di un DPO. In tal senso, un’azienda sanitaria locale (ASL) deve nominare un DPO in quanto tratta dati sanitari su larga scala, e il DPO verifica procedure di consenso, flussi informativi tra reparti e sicurezza dei sistemi di cartella clinica elettronica. In generale, gli enti della pubblica amministrazione che gestiscono dati personali di cittadini (anagrafici, sanitari, sociali, tributari) sono tenuti alla nomina del DPO; ciò vale a fortiori per le strutture sanitarie pubbliche, per la particolare delicatezza dei dati trattati.

2.3. Obbligo nelle strutture sanitarie private
Per il settore privato, l’obbligo di nomina del DPO scatta quando le attività principali consistono in trattamenti che richiedono monitoraggio regolare e sistematico su larga scala o nel trattamento su larga scala di categorie particolari di dati.
Il Garante Privacy, nelle FAQ in ambito privato, include espressamente tra i soggetti obbligati le Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria (ospedali privati, terme, laboratori di analisi mediche, centri di riabilitazione). In tali casi, il trattamento su larga scala di dati sanitari rende obbligatoria la designazione di un DPO.

2.4. Nomina volontaria e principio di accountability
Negli altri casi (es. realtà sanitarie molto piccole o con trattamenti non su larga scala), la nomina non è formalmente obbligatoria, ma è considerata opportuna come buona pratica di responsabilizzazione (accountability), per garantire il dialogo con il Garante, ridurre il rischio di controversie e sanzioni, risultare idonei in caso di visite ispettive e rafforzare la governance privacy interna.

  1. Posizione organizzativa del DPO: indipendenza, conflitti di interessi e risorse
    3.1. Requisiti professionali e di competenza
    Il DPO è scelto in funzione delle sue qualità professionali e in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere ai compiti assegnati (art. 37 par. 5 GDPR). E’ opportuno che abbia una formazione specialistica (master, corsi, esperienze documentate), la conoscenza delle norme e procedure del settore specifico (qui: sanitario) e la capacità di progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali.

3.2. Indipendenza, assenza di conflitto di interessi e rapporto con il vertice
Il GDPR e la disciplina nazionale richiedono che il DPO operi con autonomia e indipendenza, senza conflitti di interessi. In particolare il DPO non può essere un soggetto che definisce finalità e mezzi del trattamento (es. amministratore delegato, direttore sanitario se decide le finalità dei trattamenti, direttore IT, direttore risorse umane, responsabile marketing). Deve essere estraneo alla catena decisionale che determina “perché” e “come” si trattano i dati. Non deve ricevere istruzioni sull’esecuzione dei suoi compiti, sul contenuto delle valutazioni, sull’approccio da seguire in casi specifici o sull’interpretazione della normativa. Non può essere rimosso o penalizzato per l’adempimento dei propri compiti; deve riferire direttamente al vertice gerarchico del titolare o del responsabile (art. 38 par. 3 GDPR). Infatti, il vertice dell’organizzazione deve essere messo a conoscenza delle indicazioni e raccomandazioni del DPO e in ambito pubblico si suggerisce la designazione di un dirigente o funzionario di alta professionalità, in grado appunto di interagire direttamente con il vertice.

3.3. Risorse e supporto organizzativo
Il titolare e il responsabile devono assicurare il coinvolgimento tempestivo e adeguato del DPO in tutte le questioni riguardanti la protezione dei dati, fornirgli le risorse necessarie per assolvere i compiti, accedere ai dati e ai trattamenti e mantenere la propria conoscenza specialistica (art. 38 par. 2 GDPR), valutare, specie in organizzazioni complesse (grandi aziende sanitarie, reti di strutture), se istituire un apposito ufficio a supporto del DPO, con referenti distribuiti nelle diverse articolazioni organizzative. In ambito sanitario, ciò implica tipicamente accesso ai sistemi informativi clinici, ai protocolli di trattamento dei dati, ai registri dei trattamenti, alle DPIA, alle procedure di data breach, e supporto da parte di referenti privacy nei reparti e nei servizi IT.

3.4. DPO interno o esterno
La struttura può nominare un DPO interno (dipendente) purché non sussistano conflitti di interessi oppure esterno, tramite contratto di servizi, garantendo comunque autonomia, imparzialità e adeguate risorse. In entrambi i casi, è essenziale che la funzione “protezione dati” possa operare con efficienza e contare su risorse proporzionate alla complessità e sensibilità dei trattamenti, particolarmente elevate nel settore sanitario.

  1. Compiti tipici del DPO nelle strutture sanitarie
    4.1. Compiti minimi previsti dal GDPR e specificità dei compiti in ambito sanitario
    Il DPO è incaricato almeno dei seguenti compiti (art. 39 par. 1 GDPR):
  • Informare e fornire consulenza al titolare, al responsabile e ai dipendenti sugli obblighi derivanti dal GDPR e dalle norme nazionali in materia di protezione dati;
  • sorvegliare l’osservanza del GDPR, delle disposizioni nazionali e delle politiche interne, comprese: attribuzione delle responsabilità, attività di sensibilizzazione, formazione del personale, controlli interni;
  • fornire pareri sulla valutazione d’impatto (DPIA) sulla protezione dei dati (art. 35 GDPR) e sorvegliarne lo svolgimento;
  • cooperare con il Garante Privacy e fungere da punto di contatto per questioni connesse al trattamento e alle consultazioni preventive;
  • supportare nella gestione delle richieste degli interessati e controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (Data Breach Notification Management).
  • Gestire o supervisionare inventari e registri dei trattamenti e delle attività di trattamento (art. 30 GDPR).
    Il DPO deve inoltre considerare i rischi inerenti ai trattamenti, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità.
    Nel settore sanitario, questi compiti si declinano in modo peculiare, in relazione a:
    1) Dati sanitari e trattamenti su larga scala
    Verifica delle misure di sicurezza e delle basi giuridiche per trattamenti di dati sanitari su larga scala e monitoraggio delle procedure di consenso informato, delle informative e dei flussi informativi tra reparti e con soggetti esterni (laboratori, centri diagnostici, ecc.).
    2) Cartella clinica elettronica, fascicolo sanitario elettronico e dossier sanitario
    Sorveglianza sulla corretta configurazione dei sistemi di cartella clinica elettronica, fascicolo e dossier sanitario, minimizzazione dei dati, controlli sugli accessi, tracciabilità, tempi di conservazione e verifica delle DPIA, spesso obbligatorie per tali trattamenti ad alto rischio.
    3) Telemedicina e servizi digitali
    Valutazione dei rischi connessi all’uso di piattaforme di telemedicina, app sanitarie, servizi cloud, con particolare attenzione a sicurezza, cifratura, autenticazione forte, trasferimenti internazionali di dati, consulenza sui contratti con fornitori di servizi IT qualificati come responsabili del trattamento.
    4) Ricerca scientifica in ambito sanitario
    Supporto nella definizione delle basi giuridiche e delle garanzie per trattamenti per finalità di ricerca scientifica in campo sanitario; controllo sulla pseudonimizzazione, anonimizzazione, limiti alla riutilizzabilità dei dati, informativa e diritti degli interessati, compatibilmente con le deroghe previste.
    5) Formazione del personale sanitario e amministrativo
    Progettazione e supervisione di programmi di formazione specifici per medici, infermieri, tecnici, amministrativi, con focus su riservatezza, uso corretto dei sistemi informativi, gestione delle richieste di accesso e rettifica, gestione delle violazioni.
  1. Regime di responsabilità del DPO e ripartizione con titolare e responsabile
    5.1. Ruolo del DPO nel sistema di governance privacy
    Il DPO svolge un ruolo di vigilanza e consulenza trasversale, senza assumere la responsabilità diretta dei trattamenti. È un ausiliario del titolare e del responsabile, incaricato di compiti la cui utilità è funzionale ad assicurare la compliance e rafforzare l’accountability. Non è il “garante interno” della conformità in senso sostitutivo del titolare, ma un presidio specialistico che supporta le decisioni e ne monitora l’effettiva attuazione.

5.2. Responsabilità esterna verso gli interessati e il Garante
Le violazioni del GDPR e i danni da illecito trattamento sono imputati, verso l’esterno, al titolare e, in casi limitati, al responsabile del trattamento. Le sanzioni amministrative previste dagli artt. 83 e 84 GDPR sono irrogate a titolare e responsabile, non al DPO. Anche la responsabilità civile per i danni da illecito trattamento (art. 82 GDPR) grava su titolare e, in casi specifici, sul responsabile, non direttamente sul DPO.
Il DPO non è quindi, di regola, legittimato passivo diretto nei confronti degli interessati o dell’Autorità di controllo per le violazioni della normativa privacy.

5.3. Responsabilità interna del DPO verso titolare e responsabile
Sul piano interno, tra DPO e titolare/responsabile si instaura un rapporto obbligatorio (contrattuale o di lavoro), in cui il DPO è configurabile come ausiliario del titolare o del responsabile ex art. 1228 c.c.
Se l’impossibilità o l’inesatta esecuzione delle prestazioni dovute dal DPO (es. mancata segnalazione di rischi, errata consulenza su DPIA, mancato controllo su procedure di data breach) deriva da sua condotta dolosa o gravemente colposa, il titolare o il responsabile possono agire in rivalsa per i danni subiti.
Il DPO può essere chiamato a risarcire il danno, purché ne sia dimostrato il nesso causale con l’inadempimento e la prevedibilità al momento della nascita dell’obbligazione (artt. 1218, 1223, 1225 c.c.).
Considerata l’elevata complessità tecnica delle materie trattate (in particolare in ambito sanitario, con uso di nuove tecnologie), la responsabilità del DPO in rivalsa è in genere limitata a dolo o colpa grave, in analogia con l’art. 2236 c.c. per le prestazioni di speciale difficoltà. Se il comportamento del titolare o del responsabile ha concorso a cagionare il danno (es. mancato rispetto delle raccomandazioni del DPO, compromissione della sua indipendenza, carenza di risorse), il risarcimento può essere ridotto in proporzione alla gravità della colpa del titolare/responsabile (art. 1227 c.c.).

5.4. Riparto di responsabilità in ambito sanitario
Nel settore sanitario, caratterizzato da trattamenti su larga scala di dati particolari, fascicoli sanitari, telemedicina e ricerca scientifica, il riparto di responsabilità si articola come segue.
È la struttura sanitaria (azienda sanitaria, ospedale pubblico o privato, laboratorio, centro di riabilitazione), Titolare del trattamento, che determina finalità e mezzi dei trattamenti, è responsabile della messa in atto di misure tecniche e organizzative adeguate, della base giuridica dei trattamenti, della corretta gestione di fascicolo/dossier, telemedicina e ricerca e risponde verso l’esterno di violazioni e danni.
Il Responsabile del trattamento è, ad esempio, il fornitore di servizi IT (cloud, piattaforme di telemedicina, gestione FSE), o altro soggetto che tratta dati per conto del titolare e risponde verso l’esterno in ipotesi limitate, ed è comunque tenuto a rispettare le istruzioni del titolare e la normativa.
Il DPO non decide finalità e mezzi, non è titolare né responsabile del trattamento, risponde internamente per inadempimento dei propri compiti, nei limiti sopra indicati, ma non sostituisce la responsabilità di titolare e responsabile.
In pratica, se un data breach riguarda, ad esempio, il fascicolo sanitario elettronico per carenze di sicurezza del sistema o errori di configurazione, il Garante e gli interessati si rivolgeranno al titolare (e, se del caso, al responsabile IT), mentre il DPO potrà essere coinvolto solo in un’eventuale azione di rivalsa interna se abbia gravemente omesso di segnalare i rischi o di svolgere i propri compiti.

  1. Applicazione al caso delle strutture sanitarie
    Per una struttura sanitaria, pubblica o privata, che tratta in modo sistematico dati sanitari di pazienti, la nomina del DPO è, nella pratica, quasi sempre obbligatoria, in quanto le attività principali consistono nel trattamento su larga scala di categorie particolari di dati personali.
    Il DPO dovrà essere individuato tra soggetti con adeguata competenza sia in materia di protezione dei dati sia nella specifica organizzazione sanitaria, in posizione indipendente, senza conflitti di interessi (non vertici decisionali sui trattamenti), dotato di risorse e con rapporto diretto con la direzione.
    In concreto, il DPO dovrà assistere la struttura nella mappatura dei trattamenti (cartella clinica elettronica, fascicolo/dossier sanitario, telemedicina, ricerca), nella redazione e revisione delle DPIA, nella definizione delle misure di sicurezza e delle policy interne; sorvegliare sull’osservanza del GDPR e del Codice Privacy, segnalando criticità e proponendo correttivi, senza però sostituirsi alle decisioni del titolare; curare formazione e sensibilizzazione di personale sanitario e amministrativo, nonché la cooperazione con il Garante in caso di ispezioni, reclami o data breach.
    In caso di violazioni (ad esempio accessi non autorizzati al fascicolo sanitario elettronico, perdita di dati di telemedicina, trattamento illecito per finalità di ricerca), la responsabilità verso l’esterno ricadrà sulla struttura sanitaria (titolare) e, se del caso, sui responsabili del trattamento (fornitori IT), mentre il DPO potrà essere chiamato a rispondere internamente solo se, con dolo o colpa grave, abbia omesso di svolgere i propri compiti in modo tale da contribuire causalmente alla violazione.

Maggiori informazioni e preventivi personalizzati di interventi qui: Contatti

Tags:

Categories:

NEWS
Previous

Comments are closed

Latest Comments

Nessun commento da mostrare.

Latest Posts

© 2026 soluzioni per aziende e professionisti. Created with ❤ using WordPress and Kubio