Medici sanzionati: dati dei pazienti usati per propaganda elettorale

L’era digitale impone una tutela rigorosa dei dati personali, soprattutto in ambito sanitario, dove le informazioni sono particolarmente sensibili. È proprio su questo fronte che il Garante per la Protezione dei Dati Personali è intervenuto con due provvedimenti (n. 81 e n. 82/2025), sanzionando due medici liguri che avevano utilizzato i dati dei propri pazienti, inclusi indirizzi e dettagli sui percorsi terapeutici, per promuovere le loro candidature alle recenti elezioni comunali.

La violazione è emersa a seguito di segnalazioni giunte al Garante e notizie riportate dalla stampa. Entrambi i casi evidenziano un principio fondamentale: i dati raccolti durante l’attività medica non possono essere usati per finalità diverse da quelle originali, in assenza di un consenso esplicito degli interessati, e in particolare non per propaganda elettorale.

---

I casi contestati: dalla lettera personalizzata all’email di massa

Nel primo caso, un oncologo di Imperia aveva inviato lettere ad alcune sue pazienti affette da una specifica patologia oncologica (carcinoma della mammella). Le comunicazioni facevano riferimento al percorso diagnostico e terapeutico intrapreso, esaltavano le competenze professionali del medico e invitavano le pazienti a sostenerlo in vista delle elezioni. L’istruttoria ha rivelato che il medico aveva inviato meno di cento lettere, selezionando i destinatari da un archivio personale.

Il medico si è difeso sostenendo di aver contattato un numero limitato di pazienti (circa cinquanta), con cui aveva un rapporto “privato e personale”, ritenendo che ciò giustificasse l’invio senza gli adempimenti privacy. Ha inoltre affermato di aver utilizzato le liste elettorali del Comune di Sanremo per verificare gli indirizzi, considerandole fonti pubbliche che lo esoneravano dall’obbligo di consenso. Tuttavia, il Garante ha precisato che l’acquisizione di dati da pubblici elenchi non giustifica l’uso di informazioni sanitarie per fini elettorali. La menzione della patologia e del rapporto terapeutico nelle lettere, finalizzata a sollecitare sostegno elettorale, ha costituito una chiara violazione del segreto professionale e un potenziale conflitto di interessi.

Nel secondo caso, un medico di medicina generale, sempre di Imperia, aveva inviato un messaggio elettorale via email a circa cinquecento pazienti, inserendo tutti gli indirizzi nel campo “copia conoscenza” (cc), rendendoli visibili a tutti i destinatari. Il messaggio informava della sua candidatura e invitava a votare per la sua lista. Il medico ha dichiarato che gli indirizzi email erano stati raccolti per scopi legati all’attività ordinaria dello studio (appuntamenti, consulti, prescrizioni), con consenso esplicito dei pazienti. Tuttavia, il Garante ha ribadito l’incompatibilità dell’uso di questi dati per propaganda elettorale senza un consenso specifico.

Inoltre, l’invio massivo di email in cc ha configurato una violazione dell’obbligo di adottare misure tecniche e organizzative adeguate per la tutela della riservatezza, come previsto dall’art. 32 del Regolamento GDPR. Questa condotta ha comportato una comunicazione non autorizzata dei dati personali tra terzi e una indebita divulgazione della qualità di pazienti, costituendo un “data breach”. L’argomentazione del medico sulla presunta ignoranza della normativa o la mancanza di formazione non è stata ritenuta sufficiente a giustificare la condotta.

---

Le sanzioni e i principi violati

Il Garante ha rilevato che in entrambi i casi il trattamento dei dati è avvenuto in violazione dei principi di liceità, correttezza e trasparenza, nonché di limitazione della finalità, come stabilito dall’art. 5 del Regolamento GDPR, e in assenza di un idoneo presupposto normativo (art. 9). Il Regolamento, infatti, stabilisce un divieto generale di trattamento delle categorie particolari di dati, inclusi quelli sulla salute, salvo specifiche eccezioni che non ricorrono per fini elettorali senza consenso esplicito.

L’Autorità ha ricordato il suo orientamento consolidato, che esclude categoricamente la possibilità di riutilizzare dati raccolti in ambito sanitario per finalità di comunicazione e propaganda elettorale, a meno di un consenso specifico e informato dell’interessato.

Per le violazioni riscontrate, il Garante ha inflitto una sanzione pecuniaria di 10.000 euro per ciascun medico. I provvedimenti saranno pubblicati sul sito del Garante e trasmessi agli Ordini dei Medici competenti per ulteriori valutazioni disciplinari.

---

LEGGI ANCHE