Privacy & GDPRMedici & Odontoiatri
Consenso clienti e dati: gestione corretta negli studi sanitari
9 min letturaPrivacy & GDPRDi Edoardo Avantifiori
In sintesi
I dati sanitari rientrano nelle categorie particolari ex art. 9 GDPR e richiedono un consenso esplicito, documentato e revocabile. Gli studi medici e odontoiatrici devono allineare il flusso di raccolta dati alle linee guida del Garante, al Codice Deontologico FNOMCeO e alle prescrizioni del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
Consenso clienti e dati: gestione corretta negli studi sanitari
Il dato sanitario è il dato più delicato che uno studio professionale possa trattare. Non è un'opinione: è la classificazione che il GDPR assegna esplicitamente alle informazioni relative alla salute fisica e mentale di una persona (art. 4, n. 15 e art. 9). Per i medici e gli odontoiatri questa non è una questione teorica — è una responsabilità quotidiana, con ricadute deontologiche, civili e penali concrete.
Eppure in molti studi la gestione del consenso si riduce ancora a un modulo fotocopiato firmato all'ingresso, senza che nessuno abbia verificato se quel documento sia ancora conforme alle prescrizioni del Garante, se la piattaforma gestionale rispetti i requisiti tecnici del GDPR, o se i collaboratori siano stati formati sul trattamento lecito dei dati.
Questo articolo offre un quadro operativo per strutturare correttamente il flusso consenso-dati in uno studio medico o odontoiatrico, senza scorciatoie.
Perché i dati sanitari richiedono una base giuridica rafforzata
Il GDPR distingue i dati "ordinari" (nome, email, recapiti) dai dati delle categorie particolari, tra cui rientrano esplicitamente le informazioni sullo stato di salute. Per questi dati il divieto di trattamento è la regola; il trattamento è lecito solo in presenza di una delle eccezioni tassative previste dall'art. 9, paragrafo 2.
Per gli studi sanitari le eccezioni applicabili sono principalmente due:
- Art. 9(2)(a): consenso esplicito dell'interessato
- Art. 9(2)(h): necessità per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria, da parte di un professionista soggetto al segreto professionale
Il punto critico è che queste due basi giuridiche non sono interscambiabili a piacere. La finalità terapeutica diretta (cartella clinica, diagnosi, referto) non richiede il consenso al trattamento GDPR perché è coperta dall'art. 9(2)(h) — ma richiede comunque il consenso informato al trattamento sanitario, che è altra cosa e rimane obbligatorio ai sensi della Legge 219/2017.
Il consenso GDPR e il consenso informato al trattamento sanitario sono due atti giuridicamente distinti. Confonderli è uno degli errori più comuni nei moduli degli studi medici. Il paziente deve firmare entrambi, per ragioni diverse.
Le finalità che invece richiedono il consenso GDPR esplicito sono quelle non strettamente terapeutiche: invio di newsletter, marketing, raccolta di testimonianze, partecipazione a studi clinici privati, cessione dei dati a terzi (es. laboratori di analisi che non agiscono come responsabili del trattamento).
Cosa deve contenere un'informativa privacy valida per uno studio sanitario
L'informativa (art. 13 GDPR) deve essere fornita prima della raccolta dei dati, in forma concisa, trasparente e comprensibile. Non è un documento da 8 pagine in corpo 8 — il Garante ha più volte sanzionato informative incomprensibili o inaccessibili.
Gli elementi obbligatori per uno studio medico/odontoiatrico:
| Elemento | Cosa specificare |
|---|---|
| Titolare del trattamento | Nome, indirizzo, contatti dello studio |
| DPO (se designato) | Contatti del Data Protection Officer |
| Finalità e base giuridica | Separare finalità terapeutiche da quelle accessorie |
| Destinatari | Laboratori, sostituti, software gestionali (come responsabili ex art. 28) |
| Trasferimenti extra-UE | Se il gestionale è in cloud USA, specificarlo |
| Periodo di conservazione | Cartella clinica: 10 anni min. (DPR 128/1969); rx: 20 anni |
| Diritti dell'interessato | Accesso, rettifica, cancellazione (con limiti per dati sanitari), portabilità |
| Diritto di reclamo | Al Garante per la Protezione dei Dati Personali |
Questa pagina non costituisce parere legale. Le indicazioni riportate hanno finalità informativa e orientativa. Per la redazione o la revisione della documentazione privacy del tuo studio, rivolgiti a un avvocato specializzato o a un DPO certificato. Consulta anche le linee guida ufficiali del Garante Privacy.
Il flusso corretto di raccolta consenso in studio
Un flusso ben strutturato riduce il rischio di contestazioni e semplifica la gestione operativa. Ecco come dovrebbe funzionare in uno studio medio (2-5 professionisti):
Al primo accesso del paziente
- Consegna dell'informativa — cartacea o digitale, prima di qualsiasi raccolta dati
- Firma della presa visione — non è un consenso, è la prova che il paziente ha ricevuto il documento
- Modulo consenso informato sanitario — obbligatorio ai sensi della L. 219/2017 per ogni trattamento terapeutico
- Moduli consenso GDPR per finalità opzionali — separati e non precompilati ("opt-in" puro)
Nei contatti successivi
- Ogni cambio di finalità richiede un nuovo consenso
- Il consenso può essere revocato in qualsiasi momento senza penalità
- La revoca non pregiudica la liceità del trattamento precedente
Nella gestione documentale
- I moduli firmati vanno archiviati in modo sicuro (fisico o digitale con accesso tracciato)
- Il gestionale deve registrare data, versione del modulo e identità del paziente
- Il Registro dei Trattamenti (obbligatorio per studi con >250 dipendenti, ma fortemente raccomandato per tutti) deve essere aggiornato
Se lo studio utilizza un software gestionale in cloud, verificate che il fornitore abbia firmato un Accordo di Responsabile del Trattamento (DPA) conforme all'art. 28 GDPR. In assenza di questo documento, il passaggio dei dati al software è tecnicamente illecito.
Consenso e strumenti digitali: i punti critici
La digitalizzazione degli studi sanitari ha introdotto nuovi vettori di rischio. I più frequenti nelle verifiche ispettive del Garante:
Moduli online senza SSL/TLS valido — qualsiasi form di raccolta dati deve transitare su connessione cifrata. Google indicizza ancora siti con HTTP, ma raccogliere dati sanitari su pagine non cifrate è una violazione immediata.
Email non cifrata per invio di referti o cartelle — l'email standard non è uno strumento idoneo per trasmettere dati sanitari. Vanno usati portali protetti, PEC o soluzioni con cifratura end-to-end.
App di messaggistica (WhatsApp, Telegram) per comunicazioni cliniche — il Garante ha già espresso orientamenti negativi. Queste piattaforme non offrono garanzie adeguate per il trattamento di categorie particolari di dati.
Software di prenotazione online — servizi come Doctolib, Doctoralia o calendari Google devono essere valutati in termini di localizzazione dei server, DPA disponibili e garanzie offerte. Non tutti i servizi consumer sono idonei al trattamento di dati sanitari.
Telecamere in sala d'attesa — se lo studio ha videosorveglianza, si applicano le prescrizioni specifiche del Garante (informativa semplificata affissa, conservazione massima 24-72h, accesso limitato).
Per una valutazione complessiva degli strumenti digitali del tuo studio, puoi approfondire il tema della reputazione online e gestione sicura dei dati su /ai/reputazione-ai.
Obblighi deontologici: cosa dice il Codice FNOMCeO
Il Codice di Deontologia Medica (FNOMCeO, ultima revisione) è esplicito: il segreto professionale e la riservatezza del paziente sono doveri fondamentali, non opzionali. Gli articoli rilevanti coprono:
- Art. 10: il medico deve adottare le misure necessarie per tutelare la riservatezza delle informazioni sul paziente
- Art. 35: il consenso informato è prerequisito di ogni atto medico non urgente
- Art. 36: in caso di paziente incapace di intendere, il consenso è raccolto dal tutore o dall'amministratore di sostegno
Per gli odontoiatri, il riferimento deontologico è il Codice Deontologico CAO-ANDI, che recepisce gli stessi principi con specifiche per il contesto odontoiatrico (es. documentazione fotografica pre/post trattamento, trattamento di immagini del cavo orale).
Un aspetto spesso trascurato: la documentazione fotografica usata per documentare casi clinici o — peggio — per marketing sui social richiede un consenso esplicito separato, che specifica il medium di pubblicazione, l'eventuale anonimizzazione e i diritti di riutilizzo. Pubblicare foto intraorali senza consenso esplicito è una violazione sia GDPR che deontologica.
Questa pagina non costituisce parere legale. Per questioni deontologiche specifiche, il riferimento è il proprio Ordine provinciale dei Medici Chirurghi e degli Odontoiatri (OMCeO) e il Collegio degli Odontoiatri di competenza.
Data breach: cosa fare quando qualcosa va storto
Nessuno studio è immune da incidenti: un laptop rubato, un gestionale violato, un'email inviata al destinatario sbagliato. Il GDPR prevede un obbligo preciso in caso di violazione dei dati personali (data breach):
- Entro 72 ore: notifica al Garante Privacy (se la violazione comporta rischio per i diritti e le libertà degli interessati)
- Senza ingiustificato ritardo: comunicazione agli interessati (se il rischio è elevato)
I dati sanitari, per la loro natura, determinano quasi sempre un rischio almeno medio, con obbligo di notifica al Garante. La mancata notifica o il ritardo possono comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale.
Un registro interno degli incidenti (anche quelli minori non notificabili) è strumento essenziale per dimostrare accountability in caso di ispezione.
Se stai valutando di integrare strumenti di AI per la gestione dello studio, assicurati che il fornitore fornisca garanzie esplicite sulla localizzazione dei dati, sulla disponibilità di un DPA e sull'assenza di utilizzo dei dati sanitari per l'addestramento dei modelli.
Checklist operativa: audit rapido per il tuo studio
Prima di investire in nuovi strumenti digitali, verifica questi punti fondamentali:
- L'informativa privacy è aggiornata al 2024/2025 e rispecchia le finalità reali del trattamento
- I moduli consenso separano chiaramente finalità terapeutiche e finalità opzionali
- Il gestionale clinico ha un DPA firmato conforme all'art. 28 GDPR
- I collaboratori hanno ricevuto formazione documentata sul trattamento dei dati
- Il sito web ha cookie banner conforme alle Linee Guida Garante 2021
- Le comunicazioni con i pazienti avvengono su canali idonei (no WhatsApp per referti)
- È presente un Registro dei Trattamenti (anche semplificato)
- Esiste una procedura scritta per la gestione dei data breach
- Le fotografie cliniche hanno consenso esplicito con specificazione dell'uso
- I tempi di conservazione dei dati sono definiti e rispettati
Conclusione
La corretta gestione del consenso e dei dati nei studi sanitari non è un adempimento burocratico da delegare a un modello scaricato da internet. È un sistema — fatto di documenti, processi, strumenti tecnologici idonei e personale formato — che protegge prima di tutto il paziente, e poi lo studio da responsabilità civili, penali e disciplinari.
Il punto di partenza per molti studi è un audit delle pratiche correnti: spesso si scopre che informative obsolete, moduli indifferenziati e strumenti digitali non conformi coesistono con una buona pratica clinica. La distanza tra le due aree è colmabile, ma richiede un approccio strutturato.
Per approfondire come integrare la conformità GDPR con la presenza digitale dello studio, esplora le risorse su /ai/sito-ai-locale e /ai/seo-ai — dove trattiamo anche i requisiti privacy per siti e landing page di studi sanitari.
Scarica la checklist GDPR per studi sanitari
12 punti di controllo per verificare la conformità del tuo studio medico o odontoiatrico al GDPR e alle linee guida del Garante
Scarica gratisScarica la Checklist Sito Web
27 punti da verificare prima di pubblicare il sito del tuo studio. PDF gratuito.
Scarica gratisWP
Redazione WebProfessionisti
WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.
Scopri i nostri servizi →