Ogni persona ha tre vite: una pubblica, una privata e una segreta. Questa celebre frase di Gabriel García Márquez ci ricorda quanto la sfera privata sia preziosa e degna di protezione. In ambito sanitario, dove vengono trattati dati personali sensibilissimi (stato di salute, terapie, diagnosi), garantire la privacy dei pazienti non è solo un obbligo di legge ma anche un dovere deontologico. Il rapporto di fiducia tra medico e paziente, infatti, si fonda anche sulla riservatezza: il paziente deve potersi fidare che le informazioni sulla propria salute rimangano protette e non vengano divulgate senza consenso. Nel mondo digitale di oggi – tra cartelle cliniche elettroniche, app mediche e telemedicina – questa tutela diventa ancora più delicata e complessa da gestire.
La normativa europea GDPR (Regolamento UE 2016/679) considera i dati sanitari come categorie particolari di dati personali (art. 9), meritevoli della massima protezione. Ciò significa che ospedali, cliniche private, studi medici e professionisti sanitari devono rispettare specifici obblighi nel trattare queste informazioni. In primo luogo, ogni trattamento deve avere una base giuridica adeguata: spesso è il consenso esplicito del paziente, oppure altre basi come la necessità per motivi di cura o obblighi di legge. In ogni caso, il paziente va informato in modo chiaro e completo (informativa privacy) su quali dati vengono raccolti, per quali finalità e con quali modalità.
Fondamentale è il principio di minimizzazione: raccogliere e trattare solo i dati strettamente necessari per le finalità sanitarie dichiarate. Ad esempio, un medico non dovrebbe chiedere informazioni non pertinenti alla cura in corso. Inoltre, vige l’obbligo di sicurezza dei dati: strutture sanitarie e medici devono adottare misure tecniche e organizzative adeguate (art. 32 GDPR) per proteggere le informazioni da accessi non autorizzati, perdita o divulgazione indebita. Ciò include l’uso di sistemi informatici protetti, password sicure, crittografia e il controllo degli accessi ai dossier clinici.
Un altro obbligo introdotto dal GDPR è la tenuta di un registro dei trattamenti (per le realtà con più di 250 dipendenti o trattamenti rischiosi) e, quando richiesto, la nomina di un DPO (Data Protection Officer), soprattutto se l’attività principale consiste in trattamenti su larga scala di dati sanitari. Molte strutture sanitarie, come aziende ospedaliere o ASL, rientrano in questo caso e devono quindi dotarsi di un responsabile protezione dati che vigili sull’osservanza della normativa.
Importante ricordare che il segreto professionale in sanità si affianca alle regole privacy: rivelare informazioni sullo stato di salute di un paziente a persone non autorizzate costituisce una grave violazione. Emblematica, a tal proposito, una recente decisione della Cassazione: un’infermiera aveva informato il marito di una paziente della necessità di una terapia, violando la riservatezza della donna. La Suprema Corte ha confermato che comunicare a terzi l’esigenza di un trattamento sanitario integra un illecito trattamento di dati sulla salute (Cass. civ., Sez. I, ord. 11 ottobre 2023, n. 28417). Anche senza rivelare dettagli specifici sulla patologia, il solo fatto di far capire che la persona necessita di cure mediche divulga un dato sanitario: una violazione che ha giustificato la sanzione pecuniaria elevata dal Garante Privacy in quel caso.
Voluntas aegroti suprema lex. Nel diritto sanitario questo principio latino – “la volontà del malato è legge suprema” – riassume il valore del consenso informato: ogni paziente ha il diritto di decidere consapevolmente sui trattamenti sanitari che lo riguardano. Ciò vale non solo per le cure mediche, ma anche per il trattamento dei dati personali ad esse collegati. In pratica, il paziente deve poter autorizzare o negare determinati utilizzi dei propri dati sanitari dopo essere stato adeguatamente informato.
Nell’era digitale, il consenso informato assume nuove forme: molte strutture utilizzano moduli di consenso in formato elettronico, firme grafometriche su tablet o click su piattaforme online, ad esempio per accettare una teleconsulenza o per la condivisione dei propri referti nel Fascicolo Sanitario Elettronico (FSE). Il consenso informato digitale è assolutamente valido, purché vengano rispettati gli stessi requisiti di quello cartaceo: deve essere libero, specifico, informato e documentato per iscritto. È quindi essenziale che il paziente riceva tutte le spiegazioni necessarie (anche tramite materiali digitali chiari e accessibili) e che possa esprimere la propria volontà in modo inequivoco, magari apponendo una firma elettronica avanzata o con autenticazione tramite SPID/CIE per dare maggiore certezza all’identità.
Un caso pratico: in ambito di telemedicina, al paziente va spiegato se la videoconsulenza verrà registrata, dove saranno conservati i video o i dati raccolti, chi potrà accedervi e per quanto tempo. Solo dopo aver compreso questi aspetti il paziente potrà dare un consenso valido al trattamento. Qualunque sistema digitale di raccolta del consenso deve poi conservare prova dell’avvenuta accettazione (log informatico, timestamp, copia del modulo firmato digitalmente) in caso di futuri controlli o contestazioni.
Rispettare la volontà del paziente significa anche permettergli di revocare il consenso con la stessa facilità con cui lo ha fornito. Ad esempio, un paziente che inizialmente acconsente all’inserimento dei propri dati nel Fascicolo Sanitario Elettronico deve poter successivamente chiedere che certi documenti vengano oscurati o che il suo FSE non sia più alimentato, se cambia idea. Le strutture sanitarie hanno il dovere di dare attuazione a queste richieste in tempi rapidi.
La sanità digitale sta rivoluzionando il modo di erogare cure: cartelle cliniche elettroniche consultabili in rete, referti online, app per monitorare parametri vitali, fino alle visite in teleconsulto. La telemedicina, in particolare, ha avuto un’enorme spinta negli ultimi anni, offrendo ai pazienti la comodità di farsi visitare a distanza e ai medici nuovi strumenti di monitoraggio continuo. Tuttavia, ogni innovazione digitale porta con sé sfide in tema di protezione dei dati.
Il Governo italiano ha avviato la creazione di una Piattaforma Nazionale di Telemedicina (PNT), integrata con il Fascicolo Sanitario Elettronico, per uniformare questi servizi su scala nazionale. Il Garante Privacy ha esaminato la disciplina di questa piattaforma, imponendo condizioni a tutela degli utenti. Ad esempio, è stato introdotto l’obbligo di una Valutazione d’Impatto sulla protezione dei dati (DPIA) preventiva, visto l’elevato numero di soggetti coinvolti e la natura delicata delle informazioni trattate. Inoltre, si è stabilito che per finalità di analisi e programmazione sanitaria, i dati dei pazienti utilizzati dalla piattaforma devono essere pseudonimizzati o aggregati, evitando di trattare dati identificativi in chiaro su larga scala. Addirittura, nella versione finale delle regole, è stato escluso l’uso di sistemi di intelligenza artificiale sui dati della telemedicina, proprio per scongiurare rischi ulteriori per la privacy.
Le strutture che erogano teleconsulti o servizi sanitari online devono quindi prestare massima attenzione: l’infrastruttura tecnica deve garantire connessioni sicure (uso di protocolli criptati per le videochiamate e il trasferimento di dati), autenticazione robusta degli utenti (medici e pazienti) e registri di controllo degli accessi. Anche in telemedicina vale il principio di finalità: i dati raccolti durante la prestazione a distanza (video, audio, relazioni cliniche, immagini diagnostiche) vanno usati solo per scopi di cura o organizzativi dichiarati e non conservati oltre il tempo necessario. Ad esempio, se una piattaforma registra le sessioni video per consentire al medico di rivederle, il paziente deve esserne consapevole e le registrazioni non vanno mantenute più a lungo del previsto.
Un capitolo importante è quello del Fascicolo Sanitario Elettronico (FSE): si tratta dell’archivio digitale che raccoglie documenti e dati sanitari del paziente, alimentato con referti, prescrizioni, lettere di dimissione e altre informazioni cliniche. L’accesso al FSE è consentito, previa autorizzazione, ai professionisti sanitari che hanno in cura il paziente, proprio per facilitare la condivisione di informazioni utili alla diagnosi e terapia. Ma fin dove ci si può spingere nell’utilizzo dei dati del FSE? Una pronuncia recente ha tracciato un confine netto: un’azienda sanitaria locale, durante l’emergenza pandemica, aveva estratto i dati di migliaia di assistiti dai Fascicoli Sanitari Elettronici e dalle banche dati interne, elaborandoli con un algoritmo per creare un elenco di pazienti “fragili” da seguire prioritariamente. La Cassazione ha ritenuto illecito questo trattamento massivo privo di una specifica base giuridica, ricordando che il consenso dato dal cittadino per alimentare e consultare il FSE a fini di cura non autorizza operazioni ulteriori di analisi statistica sulla popolazione (Cass. civ., Sez. I, ord. 6 marzo 2025, n. 6067). In sostanza, usare i dati del FSE per finalità diverse dalla cura individuale – ad esempio per programmi di sanità pubblica o stratificazioni di rischio – richiede garanzie aggiuntive: anonimizzazione dei dati oppure un nuovo consenso informato specifico. Inoltre, un progetto del genere avrebbe dovuto essere preceduto da una rigorosa DPIA viste le nuove tecnologie e l’ampiezza del campione (nell’episodio specifico erano coinvolti oltre 17.000 pazienti).
Le linee guida del Garante sul dossier sanitario (ancora valide anche dopo il GDPR) sottolineano che l’accesso al fascicolo deve essere ristretto solo al personale sanitario direttamente coinvolto nella cura in atto. Qualsiasi allargamento indebito degli accessi, anche all’interno della stessa struttura, può costituire violazione. Proprio nel 2024 il Garante ha sanzionato un’ASL con 75.000 euro di multa per aver consentito l’accesso ai dossier sanitari da parte di personale non coinvolto nella cura dei relativi pazienti. È dunque imprescindibile che ogni clinica e ospedale definisca profili di autorizzazione precisi, assegnando a ciascun operatore solo i permessi necessari e prevedendo sistemi di audit che traccino chi accede a quali dati.
Nonostante le cautele, il rischio zero non esiste. Una distrazione di un operatore, una vulnerabilità informatica o una gestione poco attenta possono portare a un data breach in ambito sanitario, ossia una violazione di sicurezza con compromissione di dati personali dei pazienti. Cosa succede in questi casi? Il GDPR impone una procedura rigorosa: la struttura sanitaria titolare del trattamento deve notificare la violazione al Garante Privacy entro 72 ore da quando ne è venuta a conoscenza, descrivendo la natura dell’evento, i dati coinvolti, le conseguenze e le misure messe in atto per porvi rimedio. Se la violazione comporta un rischio elevato per i diritti degli interessati (ad esempio l’esposizione di dati sensibili), deve essere informato anche il paziente stesso, con un linguaggio chiaro, delle informazioni violate e dei possibili rischi conseguenti (art. 34 GDPR). Un classico esempio è l’errato invio di referti medici al destinatario sbagliato: il paziente A riceve per errore l’esito di un altro paziente B. In tal caso l’ASL o la clinica dovrà informare B della violazione dei suoi dati e suggerirgli eventuali precauzioni (per fortuna, spesso il danno è limitato alla riservatezza violata, ma potrebbe in certi casi esporre la persona a discriminazioni o pregiudizi se l’informazione diffusa è particolarmente delicata).
Le sanzioni amministrative per chi non protegge adeguatamente i dati sanitari possono essere molto onerose: il GDPR prevede multe fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo mondiale. Negli ultimi anni il Garante italiano ha inflitto sanzioni pesanti al settore sanitario per vari motivi: dall’aver lasciato database di referti esposti online senza autenticazione, all’utilizzo di sistemi software obsoleti non più sicuri, fino a casi di accessi illeciti ai dati dei pazienti da parte di dipendenti curiosi o non autorizzati. Oltre alla multa, per le strutture pubbliche c’è il danno reputazionale: un ospedale che finisce sui giornali per una fuga di dati sensibili vede incrinarsi la fiducia dei cittadini.
Va ricordato che la violazione della privacy in ambito sanitario può avere anche risvolti di responsabilità penale. In Italia l’art. 167 del Codice Privacy (D.lgs. 196/2003, aggiornato dal D.lgs. 101/2018) punisce chiunque, al fine di trarne profitto o recare danno, tratti illecitamente dati personali sensibili (come quelli sanitari) causando nocumento all’interessato. Si rischiano reclusione fino a 3 anni nei casi più gravi. La Cassazione penale ha di recente chiarito che questo reato si consuma nel momento stesso in cui avviene il trattamento illecito, a prescindere dalla durata degli effetti lesivi: in altre parole, la semplice condotta di trattamento non autorizzato realizza immediatamente l’offesa al bene giuridico protetto (Cass. pen., Sez. III, sent. 18 settembre 2024, n. 38511). Ciò significa che, ad esempio, un medico o un impiegato amministrativo che acceda senza motivo ai dati sanitari di un paziente commette subito il reato, anche se poi non diffonde ulteriormente quelle informazioni. Naturalmente, se dal fatto derivano conseguenze ulteriori (diffusione pubblica dei dati, ricatto, ecc.), si applicheranno anche altre norme penali a tutela della vittima.
Anche il danno civile è un aspetto da considerare: il paziente che subisce una violazione dei propri dati personali può chiedere il risarcimento del danno (materiale o morale) subito, ai sensi dell’art. 82 GDPR. Tuttavia, ottenere un indennizzo non è automatico: la giurisprudenza italiana richiede di provare uno specifico pregiudizio subito a causa della violazione della privacy. Ad esempio, se la divulgazione illecita di un dato sanitario ha causato un danno all’immagine o una sofferenza morale documentabile, il paziente potrà agire legalmente per il risarcimento. In caso contrario, la sola violazione formale potrebbe non bastare per un risarcimento, fermo restando che resta applicabile la sanzione amministrativa per il titolare del trattamento.
Viste le possibili conseguenze, è nell’interesse di ogni struttura sanitaria investire in compliance privacy e prevenzione. Ecco alcune best practice essenziali per cliniche, studi medici e servizi sanitari digitali:
Formazione del personale: Medici, infermieri, tecnici e amministrativi devono essere formati sulle regole privacy. Devono capire che anche un piccolo errore (come parlare di un paziente in ascensore con colleghi, o lasciare incustodito un fascicolo) può avere rilevanza. Una cultura della riservatezza va promossa a tutti i livelli, con aggiornamenti periodici soprattutto quando cambiano le norme o introdotte nuove tecnologie.
Policy e protocolli interni: Ogni studio medico o clinica dovrebbe adottare procedure scritte su come gestire i dati dei pazienti: chi può accedere a cosa, come si custodiscono i documenti sanitari, come vanno eliminati o archiviati i dati non più necessari. È utile predisporre un protocollo di data breach interno, così che lo staff sappia subito come agire (e chi informare) in caso di violazione.
Sicurezza informatica: Investire in sistemi informativi sicuri è ormai imprescindibile. Questo include utilizzare software aggiornati e dotati di certificazioni di sicurezza, affidarsi a fornitori seri per i servizi in cloud (assicurandosi che rispettino la normativa europea), crittografare i dati sensibili sia a riposo che durante la trasmissione, e implementare sistemi di backup e disaster recovery per evitare perdita di informazioni critiche. I dispositivi medici connessi (come macchinari diagnostici che inviano dati in rete) vanno configurati con credenziali robuste e segmentati nella rete interna per ridurre i rischi di intrusione.
Documentazione del consenso e delle informative: Tutti i moduli di consenso informato (anche digitali) e le informative privacy consegnate ai pazienti vanno conservati. È consigliabile far firmare al paziente un’unica scheda riepilogativa dei consensi privacy all’ingresso in clinica, in cui può autorizzare o negare, ad esempio, l’uso dei dati per ricerca scientifica, per fini didattici, per il FSE, ecc., in modo granulare. Nel caso di piattaforme online, prevedere checkbox separati per ogni finalità aggiuntiva oltre alla cura.
Privacy by design: Quando si introduce una novità tecnologica (una nuova app per i pazienti, un sistema di telemonitoraggio, ecc.), coinvolgere subito un esperto legale o consulente privacy per valutare gli impatti sin dalla progettazione. Adottare soluzioni che offrano impostazioni di privacy elevate di default (privacy by default). Ad esempio, se si sviluppa un’app per prenotare visite, impostare automaticamente l’offuscamento dei dati personali visibili ad altri utenti e rendere opt-in l’eventuale condivisione di dati con terze parti.
Audit e controlli periodici: È buona prassi effettuare verifiche periodiche sulla conformità: controllare i log di accesso ai database sanitari per individuare eventuali accessi anomali, fare simulazioni di phishing sul personale per testare la resilienza, e rivedere annualmente le misure tecniche e organizzative adottate. Se emerge una criticità (ad es. computer con schermi visibili al pubblico, o armadi contenenti cartelle cliniche lasciati aperti), intervenire subito con correttivi.
In definitiva, investire in privacy in ambito sanitario significa non solo evitare sanzioni ma soprattutto proteggere il rapporto di fiducia con il paziente. Un antico principio medico, “primum non nocere” (per prima cosa, non nuocere), può essere letto oggi anche in chiave di protezione dei dati: non causare un male al paziente significa anche non esporre le sue informazioni personali a rischi inutili. La tutela della privacy è parte integrante della buona pratica clinica.
Nel mondo della sanità, tecnologia e riservatezza devono andare di pari passo. Le norme sulla privacy offrono un quadro di riferimento imprescindibile per chi opera con dati così delicati, ma il rispetto delle regole non deve essere visto solo come un adempimento burocratico. Al contrario, mettere il paziente al centro significa anche garantire che la sua dignità e intimità siano sempre protette. In un’epoca di sanità connessa e digitale, questa protezione richiede impegno costante, aggiornamento e una consulenza legale specializzata in grado di guidare le strutture tra obblighi e nuove sfide.
Se operi nel settore sanitario e hai bisogno di assistenza su privacy e protezione dei dati dei pazienti, lo Studio Legale MP è a tua disposizione. Possiamo aiutarti a verificare la conformità al GDPR della tua attività, predisporre la documentazione necessaria e gestire eventuali incidenti o ispezioni del Garante. Contattaci per una consulenza personalizzata: tutelare la privacy dei tuoi pazienti significa tutelare anche la sicurezza giuridica e la reputazione della tua struttura.
Avv. Marco Panato, avvocato del Foro di Verona e Dottore di Ricerca in Diritto ed Economia dell’Impresa – Discipline Interne ed Internazionali - Curriculum Diritto Amministrativo (Dipartimento di Scienze Giuridiche, Università degli Studi di Verona).
E' autore di pubblicazioni scientifiche in materia giuridica, in particolare nel ramo del diritto amministrativo. Si occupa anche di docenza ed alta formazione.
