Il campione biologico come dato personale: una recente pronuncia del Garante Privacy
Lo scorso 9 ottobre 2025, il Garante Privacy ha irrogato all’Humanitas di Rozzano una sanzione pecuniaria di 70mila euro in connessione ad un episodio di errata distruzione di materiale biologico. La vicenda non ha ricevuto molta eco mediatica, ma presenta diversi spunti di interesse.
In sintesi, un infermiere dipendente della struttura aveva erroneamente smaltito, subito dopo il prelievo, un campione di tessuto prelevato a una paziente nel corso di un intervento chirurgico, destinato all’esecuzione di un esame istologico, di fatto precludendone lo svolgimento.
La paziente ha presentato reclamo al Garante che, a seguito dell’istruttoria, ha ritenuto di procedere nei confronti della società, in qualità di titolare del trattamento, contestandole la violazione degli obblighi in materia di sicurezza dei dati personali e l’omessa notifica del data breach all’Autorità.
La società si è difesa sostenendo che l’erroneo smaltimento del campione di tessuto si fosse verificato a causa di un difetto di comunicazione tra il chirurgo e l’infermiere di sala, in altre parole un mero errore umano, a suo parere non ascrivibile a deficit delle misure di sicurezza adottate a protezione dell’integrità dei dati.
Quanto all’omessa notifica dell’evento al Garante, la società l’ha giustificata sulla base di una valutazione prognostica di improbabilità di rischio per i diritti e le libertà dell’interessata; a tale riguardo, ha rilevato la presunta efficacia delle contromisure poste in essere nel limitare i danni connessi all’impossibilità di effettuare l’esame istologico (notifica dell’evento alla paziente, attivazione immediata di percorso di follow-up radiologico e visita specialistica) e l’assenza di potenziale pregiudizio alla confidenzialità dei dati personali, intrinsecamente connaturata all’immediata e irreversibile distruzione del campione.
Il Garante ha ritenuto, tuttavia, che le difese fornite dal titolare del trattamento non consentissero l’archiviazione del procedimento.
Muovendo dalla premessa che il campione erroneamente smaltito costituisse dato personale e, più specificamente, dato personale relativo alla salute, ha, anzitutto, concluso che la distruzione del materiale, e la conseguente impossibilità di effettuarne l’analisi istologica, abbiano comportato violazione degli artt. 5, par. 1, lett. f) e 32 del GDPR, relativi agli obblighi di sicurezza finalizzati a preservare, tra l’altro, la disponibilità dei dati.
Quanto alla questione dell’omessa notifica, il Garante ha ritenuto che la circostanza di non poter contare sull’esito di un esame istologico di un campione di tessuto, non replicabile, abbia determinato significativi effetti negativi sulla reclamante e che pertanto l’evento avrebbe dovuto essere notificato all’Autorità.
Le due violazioni sono state sanzionate, valutati tutti i fattori pertinenti, con, rispettivamente, la sanzione pecuniaria di 50.000 e 20.000 euro.
Non è dato sapere se il provvedimento sia stato impugnato.
L’aspetto di maggior interesse della vicenda a mio parere è la qualificazione del campione biologico come dato personale, che, peraltro, non è stata contestata dalla titolare del trattamento.
Su un piano generale, la questione se un campione biologico in quanto tale possa considerarsi dato personale o siano invece dati personali le informazioni relative all’individuo (dati genetici, dati relativi alla salute, dati biometrici) che da esso possono essere estratte, è oggetto di dibattito da diversi anni. Uno studio commissionato dall’EDPB, pubblicato nel 2020, afferma che “Under data protection legislation, there is additional uncertainty about the precise status of human tissue or body material, more precisely (i) as a source of personal information rather than (ii) personal data itself”.
In estrema sintesi, diversi elementi depongono a sfavore della prima tesi, che potremmo definire “funzionale”.
Per cominciare, il Considerando 35 del GDPR recita: “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono [...] le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici (enfasi aggiunta, ndr) [...]”. Il Considerando 34 sui dati genetici contiene un testo analogo.
In un Parere del 2007 sul concetto di dato personale, l’ormai cessato Gruppo di Lavoro ex Art. 29 aveva scritto a proposito di dati biometrici (altra categoria di dati c.d. particolari) : “I campioni di tessuti umani (un campione di sangue) sono fonti da cui vengono estratti dati biometrici, ma non sono di per sé dati biometrici (le impronte digitali sono dati biometrici, non il dito). Ne consegue che l'estrazione di informazioni da campioni equivale a una raccolta di dati personali, e che ad essa si applicano le norme della direttiva. La raccolta, la conservazione e l'impiego di campioni di tessuti possono di per sé essere soggetti a una serie di norme specifiche”.
Del resto l’ICO, l’omologo britannico del nostro Garante, scrive ancora oggi sul proprio sito circa i dati genetici: “A genetic sample itself is not personal data until you analyse it to produce some data. And genetic analysis data is only personal data (and so genetic data) if you can link it back to an identifiable individual”.
Naturalmente, negare la natura di dato personale del campione biologico in quanto tale non equivale a negare che esso debba essere circondato di adeguate misure di sicurezza, ivi comprese quelle volte alla protezione dei dati personali; e non è un caso che il Garante abbia dettato apposite prescrizioni al riguardo (cfr. punto 4.2). Per cominciare, come vedremo subito, nella pratica è possibile che i campioni finiscano per costituire dati personali anche senza aderire alla tesi “funzionale”, senza cioè alcun riguardo ai dati che da essi possono essere estratti mediante analisi ed esami; in secondo luogo, le misure di sicurezza tendono a prevenire possibili incidenti e, quindi, sono perfettamente coerenti con la visione del campione biologico come fonte potenziale di categorie particolari di dati personali.
Come sopra si anticipava, nel caso specifico al nostro esame il Garante non ha dovuto cimentarsi in complesse distinzioni ontologiche tra il materiale biologico e le potenziali informazioni personali da esso estraibili per affermarne o escludere la natura di dato personale. Le circostanze del caso concreto hanno consentito all’Autorità di arrestare l’analisi a un livello, se si vuole, più superficiale, per osservare che “[…] il prelievo di un campione di una parte del corpo della reclamante, che è stata sottoposta ad intervento operatorio, associato all’identità della stessa, rivela l’avvenuta prestazione di servizi di assistenza sanitaria (enfasi aggiunta, ndr), quindi, costituisce un dato sulla salute”.
L’accento, qui, non è sulle informazioni attinenti alla salute estraibili dal campione biologico (che, invece, hanno rilevato nella valutazione del data breach, v. infra), ma su quelle direttamente desumibili dall’associazione tra campione, identità della persona e circostanze del suo prelievo, tutte accessibili al titolare del trattamento: ovvero, in sostanza, il fatto che la persona è stata oggetto di prestazioni sanitarie.
Si tratta di una soluzione formalmente impeccabile: i dati relativi alle prestazioni sanitarie sono infatti, per definizione, dati sulla salute (cfr. Art. 4 par. 1 punto 15 del GDPR).
La stessa soluzione, del resto, era stata fornita in un analogo precedente procedimento del 2023 (nel quale, a differenza che in quello qui commentato, il titolare del trattamento aveva sostenuto l’irriducibilità di campioni biologici di per sé considerati a dati personali).
Dal canto suo, anche la Cassazione ha confermato questa lettura nella sentenza n. 8459 del 5 maggio 2020, nella quale ha incidentalmente affermato che un vetrino contenente un campione biologico deve considerarsi dato personale “in quanto risulti corredato da indicazioni atte alla identificazione del soggetto cui appartiene”.
Visti questi precedenti, la questione della classificazione dei campioni biologici come dati personali assume, perciò, astratta rilevanza – perlomeno nell’ordinamento italiano - solo in quelle fattispecie residuali in cui il campione è nella disponibilità di soggetto che non ne conosce l’origine e non dispone di mezzi ragionevolmente utilizzabili per associarlo a un individuo determinato (es. campioni irreversibilmente anonimizzati, campioni ceduti per ricerca senza informazioni sull’origine). Va da sé che, laddove da questi campioni si estraessero identificatori univoci, come dati genetici o biometrici, essi dovrebbero considerarsi dati personali.
È, infine, di qualche interesse anche la questione della diversa valutazione della gravità delle conseguenze del data breach da parte di titolare del trattamento e Autorità garante (da cui discendono le diverse conclusioni in tema di obbligo di notifica).
A parere di chi scrive, la difformità di valutazione sta soprattutto in questo: che il titolare del trattamento ha posto maggiore accento sui pregiudizi direttamente connessi alla sfera della privacy, in particolare l’impossibilità per qualsiasi terzo di accedere a dati personali dell’interessato per effetto dell’incidente; il Garante, invece, sulla più ampia sfera delle conseguenze pregiudizievoli per l’interessato, nel caso di specie connesse all’indisponibilità del campione per l’esame istologico e la diagnosi sulla natura della lesione (ritenuti evidentemente non perfettamente sostituibili con le misure rimediali messe in campo dalla titolare del trattamento).
La prospettiva del Garante è certamente corretta. La normativa in materia di privacy non limita l’ambito delle conseguenze pregiudizievoli da valutarsi in relazione a un data breach a quelle strettamente connesse alla sfera della riservatezza, ma più in generale a qualsiasi danno economico o sociale significativo per le persone fisiche interessate (cfr. Considerando 85 del GDPR).
D’altra parte, è indicativo che la perdita definitiva del dato, dunque senza possibilità di accesso da parte di terzi non autorizzati, sia considerata di per sé un evento dannoso (violazione della disponibilità), che le misure di sicurezza messe in campo dovrebbero tendere a prevenire.