La DPIA è sempre obbligatoria in ambito sanitario?

Per i trattamenti di dati sanitari su larga scala, sì. Il Garante italiano ha inserito il trattamento di dati particolari (inclusi i dati sanitari) su larga scala tra i 12 casi di DPIA obbligatoria. Per cartelle cliniche elettroniche, sistemi di prenotazione sanitaria, telemedicina, teleconsulto, la DPIA è obbligatoria e va documentata prima di avviare il trattamento.

Il consenso informato sanitario è sufficiente per il GDPR?

No, sono due cose distinte. Il consenso informato riguarda l'atto medico (l'accettazione di una terapia, un intervento, un esame). Il consenso GDPR riguarda il trattamento dei dati personali. Per le finalità di cura, la base giuridica del GDPR è generalmente l'interesse vitale o l'obbligo legale, non il consenso. Servono però informative distinte per le diverse finalità (cura, ricerca, amministrazione, marketing).

Settore · Sanità

GDPR per la Sanità — Cliniche, Studi Medici, Laboratori, Farmacie

Q: Le strutture sanitarie devono nominare un DPO?

Sì, in quasi tutti i casi. Il trattamento di dati sanitari su larga scala rientra nell'obbligo di nomina del DPO ai sensi dell'art. 37, comma 1, lettera c) del GDPR. ASL, ospedali, cliniche, RSA, laboratori di analisi, strutture ambulatoriali sono tipicamente obbligati. Per piccoli studi medici singoli l'obbligo può non sussistere, ma la nomina è fortemente raccomandata.

Il settore sanitario tratta i dati più sensibili in assoluto: stato di salute, genetica, patologie, terapie, farmaci. Gli obblighi GDPR sono più stringenti e le sanzioni più severe. Ti offro una consulenza costruita sulle specificità del settore sanitario.

Richiedi un preventivo Adempimenti specifici

Perché la sanità ha obblighi GDPR più stringenti

I dati sanitari sono "categorie particolari di dati" ai sensi dell'articolo 9 del GDPR. Il loro trattamento è in linea di principio vietato, salvo eccezioni specifiche: finalità di cura, tutela di un interesse vitale, obbligo legale, interesse pubblico in sanità, ricerca scientifica. Per ogni trattamento va individuata con precisione la base giuridica speciale (art. 9) oltre alla base giuridica generale (art. 6).

A questo si aggiunge la complessità del contesto sanitario: cartelle cliniche elettroniche, fascicolo sanitario elettronico (FSE), sistemi di prenotazione (CUP), telemedicina, dispositivi medici connessi, ricerca clinica, rapporti con ASL e Regioni. Ogni struttura sanitaria è un ecosistema di trattamenti complessi che richiede una compliance articolata.

Il Garante italiano monitora attivamente il settore. I provvedimenti sulle violazioni in ambito sanitario sono frequenti e le sanzioni spesso significative. La mancanza di DPO, DPIA assenti su trattamenti ad alto rischio, data breach non notificati sono le violazioni più ricorrenti.

Adempimenti GDPR per il settore sanitario

DPO obbligatorio in quasi tutti i casi

Il trattamento di dati particolari su larga scala rientra nell'obbligo di nomina del DPO (art. 37, comma 1, lettera c). Ospedali, cliniche, RSA, laboratori, studi medici associati di grandi dimensioni, farmacie in rete sono tipicamente obbligati. Per piccoli studi medici singoli l'obbligo può non sussistere, ma la nomina è sempre raccomandata.

Registro dei trattamenti sanitario

Il registro dei trattamenti di una struttura sanitaria deve mappare: gestione cartelle cliniche, prescrizioni, esami, referti, tessera sanitaria, spese mediche per 730, rapporti con ASL e INPS, dati dei dipendenti (con sorveglianza sanitaria), videosorveglianza, amministrazione. Ogni trattamento richiede l'indicazione della base giuridica sanitaria (art. 9) oltre a quella generale (art. 6).

DPIA obbligatoria sui trattamenti chiave

La DPIA è obbligatoria per: cartella clinica elettronica, FSE, sistemi di prenotazione integrati, telemedicina, teleconsulto, app per la salute, dispositivi medici connessi (IoT sanitario), ricerca scientifica su dati sanitari, profilazione clinica. La DPIA va redatta prima di avviare il trattamento e aggiornata in caso di modifiche significative.

Informative distinte per finalità

Il paziente deve ricevere informative separate per le diverse finalità del trattamento: informativa per finalità di cura (base giuridica: interesse vitale o obbligo legale), informativa per amministrazione e fatturazione, informativa per ricerca (se presente), informativa per marketing e newsletter (se applicabile), informativa per telemedicina.

Consenso informato vs consenso GDPR

Una confusione ricorrente: il consenso informato sanitario riguarda l'accettazione dell'atto medico. Il consenso GDPR riguarda il trattamento dei dati. Sono due cose distinte. Per le finalità di cura, la base giuridica del GDPR è generalmente l'obbligo legale o l'interesse vitale, non il consenso. Il consenso del paziente serve solo per trattamenti ulteriori (ricerca, marketing, finalità non sanitarie).

Sicurezza dei dati sanitari

Le misure di sicurezza devono essere particolarmente robuste: cifratura dei dati in transito e a riposo, controllo accessi granulare con logging (chi ha visto la cartella di chi), backup crittografati, autenticazione forte per il personale, segmentazione della rete, procedure per i dispositivi medici connessi. Il Garante ha sanzionato strutture sanitarie per accessi non tracciati da parte del personale.

Data breach sanitari

Un data breach su dati sanitari è quasi sempre da notificare al Garante entro 72 ore E da comunicare agli interessati (art. 34). La procedura data breach deve essere pronta e testata. Casi tipici: accesso non autorizzato alla cartella clinica, perdita di USB con referti, invio email a destinatario sbagliato, ransomware.

Rapporti con Responsabili esterni

Le strutture sanitarie si appoggiano a fornitori con accesso ai dati: software gestionale, cloud provider, laboratori esterni, servizi di teleradiologia, società di trasporto referti, archiviazione documentale. Ogni fornitore va nominato responsabile ex art. 28 con contratti specifici per il settore sanitario.

Sorveglianza sanitaria dei dipendenti

Le strutture sanitarie trattano dati sanitari anche dei propri dipendenti (visite mediche, idoneità, sorveglianza). Questi dati richiedono misure separate: il medico competente deve gestirli autonomamente, il datore di lavoro accede solo al giudizio di idoneità e non ai dati clinici.

La nostra consulenza per il settore sanitario

DPO esterno con esperienza specifica sul settore sanitario
Registro dei trattamenti sanitario con basi giuridiche art. 9
DPIA per cartella clinica, telemedicina, sistemi integrati
Informative distinte per finalità (cura, amministrazione, ricerca, marketing)
Procedure data breach calibrate sui rischi sanitari
Nomine art. 28 per software gestionale, cloud, laboratori esterni
Formazione del personale sanitario con focus sulle specificità
Misure di sicurezza tecniche e organizzative adeguate al settore
Supporto per rapporti con ASL, Regioni, Ministero

Domande frequenti

Le strutture sanitarie devono nominare un DPO?

Quasi sempre sì. Il trattamento di dati sanitari su larga scala rientra nell'obbligo art. 37, comma 1, lettera c.

La DPIA è sempre obbligatoria in sanità?

Per i trattamenti su larga scala sì. Il Garante ha incluso i dati particolari su larga scala nei casi di DPIA obbligatoria.

Il consenso informato è sufficiente per il GDPR?

No. Sono due strumenti distinti. Il consenso informato riguarda l'atto medico. Il consenso GDPR riguarda i dati. Per le finalità di cura, la base giuridica è l'obbligo legale o l'interesse vitale.

Quanto costa adeguare una struttura sanitaria?

Dipende fortemente dalla dimensione e complessità. Per uno studio medico singolo: a partire da 2.500 €. Per strutture più complesse (cliniche, laboratori, ambulatori multipli): preventivo su misura. Contattami.

Vuoi adeguare la tua struttura sanitaria al GDPR?

Contattami per un check gratuito della conformità della tua struttura.

Richiedi un preventivo WhatsApp