Garante privacy del Belgio: il GDPR si applica anche ai dati personali dei nascituri.

Il 18 dicembre 2025, l’Autorità belga per la protezione dei dati (decisione n. 146/2024) ha adottato un provvedimento di ammonimento nei confronti di un ospedale per violazioni del Regolamento generale sulla protezione dei dati (GDPR), a seguito di un accesso non autorizzato ai fascicoli sanitari elettronici dei pazienti.

Il caso trae origine da un episodio in cui una fisioterapista, operante come libera professionista, ha consultato la cartella clinica di una paziente in assenza di un rapporto terapeutico in corso. L’accesso illecito è emerso nell’ambito di uno scambio di messaggi su WhatsApp, nel quale venivano richiamate informazioni mediche sensibili, incluse dati relativi a un feto non ancora nato.

Pur riconoscendo la responsabilità personale della fisioterapista per l’accesso non autorizzato, l’Autorità belga ha ritenuto responsabile anche l’ospedale, rilevando l’inadeguatezza delle misure tecniche e organizzative adottate per prevenire simili condotte. In particolare, sebbene la struttura avesse predisposto clausole contrattuali, regolamenti interni e profili di accesso ai sistemi informativi, essa aveva fatto eccessivo affidamento sulla buona fede degli operatori e su controlli ex post. Secondo l’Autorità, mancavano misure tecniche effettive in grado di impedire accessi indebiti e non risultava implementato un sistema di audit casuali dei log di accesso.

Di particolare rilievo è il chiarimento fornito dall’Autorità belga in merito all’ambito soggettivo di applicazione del GDPR. In base al diritto belga, le tutele del Regolamento possono estendersi anche ai dati relativi a un nascituro, a condizione che il bambino venga successivamente alla luce vivo e vitale. Nel caso di specie, tale condizione era soddisfatta, con la conseguenza che il minore è stato riconosciuto come interessato ai sensi del GDPR, rendendo il reclamo ammissibile.

Le violazioni accertate hanno riguardato, in particolare, gli articoli 5, paragrafo 1, lettera f), 5, paragrafo 2, 24 e 32 del GDPR, relativi ai principi di integrità e riservatezza, accountability, responsabilità del titolare e sicurezza del trattamento.

Oltre all’ammonimento, l’Autorità ha imposto una serie di misure correttive, tra cui:

• un rafforzamento della trasparenza nei confronti dei pazienti, incluso il diritto di richiedere informazioni sui log di accesso alle proprie cartelle;

• l’adozione di controlli di accesso più granulari, basati sui ruoli effettivamente svolti;

• l’introduzione di un meccanismo di “Break the Glass” per gli accessi eccezionali, subordinato a motivazione e tracciamento;

• l’esecuzione di audit casuali sui log di accesso e la definizione di chiare procedure di escalation in caso di anomalie.

La decisione rappresenta un ulteriore richiamo per le strutture sanitarie sull’importanza di una data governance sostanziale e non meramente formale, soprattutto in contesti ad alta intensità di dati sensibili come quello sanitario, dove la sicurezza degli accessi e il controllo effettivo degli utilizzi dei dati costituiscono un presupposto essenziale di conformità al GDPR.