WebProfessionisti
Tutte le guide
Privacy & GDPRMedici & Odontoiatri

Consenso privacy e dati pazienti: la guida per studi medici

11 min letturaPrivacy & GDPRUltimo aggiornamento: 4 giugno 2026Di Edoardo Avantifiori
In sintesi

Nello studio medico i dati relativi alla salute sono categorie particolari ex art. 9 GDPR: la cura si fonda sull'art. 9(2)(h) e non richiede il consenso privacy al trattamento, mentre marketing, newsletter e testimonianze richiedono un consenso esplicito, separato, libero e revocabile ex art. 6, 7 e 9(2)(a). Confondere le due basi giuridiche è l'errore più frequente e più sanzionato.

Consenso privacy e dati pazienti: la guida per studi medici

Nello studio medico il trattamento dati personali del paziente si regge su due consensi diversi, che vanno tenuti separati. Per la cura (diagnosi, terapia, cartella clinica) non serve il consenso privacy al trattamento: la base giuridica è l'art. 9(2)(h) del GDPR, riservata ai professionisti tenuti al segreto. Per marketing, newsletter, testimonianze o foto cliniche serve invece un consenso esplicito ex art. 9(2)(a), che deve essere libero, specifico, separato dalla prestazione e revocabile in ogni momento. Confondere queste due basi — o far firmare un unico modulo "tuttofare" all'ingresso — è l'errore più diffuso e più contestato dal Garante negli studi sanitari italiani.

Questa guida spiega come strutturare il flusso consenso-dati in uno studio medico o odontoiatrico, distinguendo correttamente le basi giuridiche per la cura e per il marketing, e rispettando insieme GDPR e Codice di Deontologia Medica.

Perché i dati sanitari hanno una protezione rafforzata (art. 9 GDPR)

Il GDPR separa i dati "ordinari" (nome, recapiti, email) dai dati delle categorie particolari, tra cui rientrano esplicitamente i dati relativi alla salute (art. 4, n. 15 e art. 9). Per queste informazioni la regola è il divieto di trattamento: diventa lecito solo se ricorre una delle eccezioni tassative dell'art. 9, paragrafo 2 del Regolamento UE 2016/679.

Per uno studio sanitario le eccezioni che contano sono due:

  • Art. 9(2)(h) — trattamento necessario per medicina preventiva, diagnosi, assistenza o terapia, eseguito da un professionista soggetto al segreto professionale. È la base che copre l'attività clinica vera e propria.
  • Art. 9(2)(a)consenso esplicito dell'interessato per finalità ulteriori, non strettamente terapeutiche.

La distinzione non è formale: ogni finalità di trattamento dati personali deve poggiare su una sola base giuridica corretta, e le due non sono interscambiabili a piacere.

Cura o marketing: due basi giuridiche da non confondere

Il punto che genera più errori è questo: per la cura non serve il consenso privacy al trattamento dei dati. La cartella clinica, la diagnosi, il referto, la prescrizione sono coperti dall'art. 9(2)(h). Chiedere al paziente di "firmare la privacy per essere curato" è giuridicamente scorretto, perché lascia intendere che senza quel consenso la prestazione non possa avvenire.

Attenzione però: la cura richiede comunque il consenso informato al trattamento sanitario, atto distinto disciplinato dalla Legge 219/2017. Riguarda l'autorizzazione all'atto medico sul corpo del paziente, non il trattamento dei dati.

Due consensi, due funzioni. Il consenso informato (L. 219/2017) autorizza l'atto sanitario; il consenso privacy GDPR autorizza un trattamento dati ulteriore rispetto alla cura. Per curare serve il primo, non il secondo. Per il marketing serve il consenso privacy esplicito. Tenerli separati nei moduli è la prima regola di conformità.

Le finalità che invece richiedono il consenso privacy esplicito (art. 9(2)(a), combinato con gli art. 6 e 7) sono tutte quelle non terapeutiche:

  • newsletter e comunicazioni informative non legate a una prestazione in corso;
  • marketing, promemoria promozionali, campagne di richiamo periodico;
  • raccolta di testimonianze e recensioni che rivelino lo stato di salute;
  • pubblicazione di foto cliniche (es. casi pre/post) su sito o social;
  • cessione dei dati a terzi che non agiscono come responsabili del trattamento.

Per la gestione operativa dei consensi su newsletter, email e SMS — il terreno più scivoloso — abbiamo una guida dedicata: consenso al marketing via email e SMS.

Cosa rende valido il consenso privacy (art. 7 GDPR)

Quando il consenso privacy serve davvero (cioè per le finalità ulteriori), deve rispettare i requisiti dell'art. 7 GDPR. Un consenso è valido solo se è:

  • libero — non condizionato all'erogazione della prestazione sanitaria. Non si può negare la cura a chi rifiuta la newsletter;
  • specifico — un consenso distinto per ciascuna finalità, non un blocco unico "accetto tutto";
  • informato — preceduto dall'informativa ex art. 13;
  • inequivocabile — manifestato con un'azione positiva. Le caselle pre-spuntate non valgono;
  • documentato — il titolare deve poter dimostrare che il consenso è stato prestato;
  • revocabile — la revoca deve essere facile come la concessione e non pregiudica la liceità del trattamento già avvenuto.

Niente moduli "tuttofare". Un unico foglio che mescola consenso informato, presa visione dell'informativa e consenso al marketing è quasi sempre invalido per la parte marketing, perché viola i requisiti di libertà e specificità dell'art. 7. Separare i moduli protegge lo studio.

L'informativa: cosa deve contenere (art. 13 GDPR)

L'informativa va fornita prima della raccolta dei dati, in forma concisa, trasparente e comprensibile (art. 13). Per uno studio medico o odontoiatrico gli elementi obbligatori sono:

ElementoCosa specificare
Titolare del trattamentoDenominazione, sede e contatti dello studio
DPO (se designato)Recapiti del Data Protection Officer
Finalità e base giuridicaDistinguere la cura (art. 9(2)(h)) dalle finalità ulteriori (art. 9(2)(a))
DestinatariLaboratori, sostituti, software gestionali come responsabili ex art. 28
Trasferimenti extra-UEDa indicare se il gestionale è in cloud fuori dallo SEE
Periodo di conservazioneTempi distinti per cartella clinica e per dati di marketing
Diritti dell'interessatoAccesso, rettifica, cancellazione (con limiti per i dati di cura), portabilità
Diritto di reclamoAl Garante per la protezione dei dati personali
Questa pagina ha finalità divulgativa e non costituisce parere legale. Il medico e l'odontoiatra sono tenuti al segreto professionale e al rispetto del Codice di Deontologia Medica oltre che del GDPR: per redigere o revisionare informativa, moduli di consenso e Registro dei trattamenti rivolgiti a un DPO o a un legale specializzato e verifica le indicazioni del tuo Ordine (OMCeO).

Il flusso corretto di raccolta del consenso in studio

Un flusso ordinato riduce le contestazioni e semplifica il lavoro quotidiano. In uno studio medio (2-5 professionisti) dovrebbe articolarsi così.

Al primo accesso del paziente

  1. Consegna dell'informativa (cartacea o digitale), prima di qualsiasi raccolta dati.
  2. Presa visione dell'informativa — non è un consenso, è la prova che il documento è stato ricevuto.
  3. Consenso informato sanitario ex L. 219/2017, per ogni trattamento terapeutico.
  4. Consensi privacy per finalità opzionali — separati, in opt-in puro, mai precompilati.

Nei contatti successivi

  • Ogni nuova finalità richiede un nuovo consenso specifico.
  • Il consenso al marketing può essere revocato in qualsiasi momento, senza penalità.
  • La revoca non incide sui trattamenti già effettuati legittimamente.

Nella gestione documentale

  • I moduli firmati vanno archiviati in modo sicuro, con accesso tracciato.
  • Il gestionale dovrebbe registrare data, versione del modulo e identità del paziente.
  • Il Registro dei trattamenti (art. 30) è fortemente raccomandato anche per i piccoli studi, vista la natura sanitaria dei dati.

Se lo studio usa un gestionale in cloud, verifica che il fornitore abbia firmato un accordo sul trattamento (DPA) conforme all'art. 28 GDPR. Senza quel documento, il passaggio dei dati al software è privo di base giuridica.

Mini case study: lo studio dentistico che separa i consensi

Uno studio odontoiatrico associato con tre poltrone raccoglieva, all'ingresso, un unico modulo che metteva insieme presa visione dell'informativa, consenso informato e una clausola con cui il paziente "autorizzava lo studio a inviare comunicazioni promozionali e a pubblicare immagini del trattamento". La casella era pre-spuntata e la firma era unica.

Questo assetto presenta due criticità precise. Primo: il consenso al marketing e alla pubblicazione di foto cliniche è condizionato di fatto alla firma necessaria per la cura, quindi non è libero (art. 7). Secondo: la casella pre-spuntata non è un'azione positiva inequivocabile, quindi quel consenso è invalido in partenza.

La correzione è strutturale, non cosmetica: l'informativa resta unica, ma i consensi diventano tre moduli distinti — presa visione, consenso informato sanitario, consensi privacy opzionali (uno per il marketing, uno separato per la pubblicazione di immagini, con indicazione del canale e della durata). Le foto del cavo orale, che rivelano dati sulla salute, vengono pubblicate solo con consenso esplicito e specifico. Con questa separazione lo studio può dimostrare, per ciascuna finalità, su quale base giuridica tratta i dati: è la sostanza del principio di accountability dell'art. 5.

Per chi vuole anche farsi trovare correttamente online, le stesse logiche di trasparenza valgono sul profilo pubblico: vedi come impostare una scheda conforme nella guida su Google Business Profile per dentisti.

Sicurezza del trattamento e canali idonei (art. 32 GDPR)

L'art. 32 GDPR impone misure tecniche e organizzative adeguate al rischio. Per i dati sanitari, ad alto rischio per natura, i punti più critici nelle verifiche sono:

  • Form online senza cifratura — qualsiasi raccolta dati deve transitare su connessione cifrata (HTTPS). Raccogliere dati sanitari su pagine non cifrate è una violazione immediata.
  • Email ordinaria per referti e cartelle — non è un canale idoneo per dati sanitari. Vanno usati portali protetti o soluzioni con cifratura adeguata.
  • App di messaggistica consumer per comunicazioni cliniche — strumenti come le chat ordinarie non offrono garanzie adeguate per le categorie particolari di dati.
  • Software di prenotazione e gestionali — vanno valutati su localizzazione dei server, disponibilità del DPA e garanzie offerte. Non ogni servizio consumer è idoneo ai dati sanitari.
  • Videosorveglianza in sala d'attesa — si applicano le prescrizioni del Garante su informativa, tempi di conservazione contenuti e accesso limitato.

In caso di violazione dei dati (data breach) con rischio per i diritti degli interessati, il titolare notifica al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore (art. 33), informando gli interessati se il rischio è elevato (art. 34). Un registro interno degli incidenti è essenziale per dimostrare accountability.

Obblighi deontologici: il Codice FNOMCeO e il segreto professionale

Oltre al GDPR, il medico risponde al Codice di Deontologia Medica della FNOMCeO, che fa del segreto professionale e della riservatezza doveri fondamentali. Il segreto copre tutto ciò che il professionista apprende in ragione della sua attività, e si interseca con la base giuridica dell'art. 9(2)(h), riservata proprio ai professionisti tenuti al segreto.

Per gli odontoiatri valgono gli stessi principi, con specifiche sul trattamento delle immagini del cavo orale e sulla documentazione fotografica pre/post. Un punto spesso trascurato: usare foto cliniche per marketing sui social richiede un consenso esplicito separato, che indichi il canale di pubblicazione, l'eventuale anonimizzazione e la durata. Pubblicarle senza è una doppia violazione, GDPR e deontologica.

Il segreto professionale del medico e dell'odontoiatra ha rilievo anche penale e disciplinare, autonomo rispetto al GDPR. Per i casi concreti il riferimento resta il Codice di Deontologia Medica e il proprio Ordine provinciale dei Medici Chirurghi e degli Odontoiatri. Questa guida non sostituisce la consulenza di un legale o di un DPO.

Checklist operativa: audit rapido per il tuo studio

Prima di investire in nuovi strumenti, verifica questi punti:

  • L'informativa è aggiornata e rispecchia le finalità reali del trattamento.
  • I consensi sono moduli distinti: presa visione, consenso informato sanitario, consensi privacy opzionali.
  • Nessun consenso al marketing è precompilato o condizionato alla prestazione.
  • Il gestionale clinico ha un DPA firmato conforme all'art. 28.
  • I collaboratori hanno ricevuto formazione documentata sul trattamento dei dati.
  • Le comunicazioni con i pazienti avvengono su canali idonei (no chat consumer per referti).
  • È presente un Registro dei trattamenti, anche in forma semplificata.
  • Esiste una procedura scritta per i data breach.
  • Le foto cliniche hanno consenso esplicito con indicazione dell'uso e della durata.
  • I tempi di conservazione sono definiti per ciascuna finalità e rispettati.

In sintesi

La gestione del consenso privacy e del trattamento dati personali nello studio sanitario non è un adempimento da risolvere con un modulo scaricato da internet. È un sistema fatto di basi giuridiche corrette, moduli separati, canali sicuri e personale formato, che protegge prima il paziente e poi lo studio da responsabilità civili, penali e disciplinari. Il punto di partenza, quasi sempre, è un audit onesto: distinguere ciò che si fonda sulla cura (art. 9(2)(h)) da ciò che richiede consenso esplicito (art. 9(2)(a)) e mettere ordine nei moduli.

Quando vuoi allineare anche la presenza digitale dello studio — sito, landing e form di contatto — agli stessi requisiti di trasparenza e sicurezza, partiamo da una valutazione del tuo sito web.

Scarica la checklist per il sito dello studio

I punti di controllo per un sito conforme: form sicuri, informativa, consensi separati e trasparenza verso i pazienti.

Scarica gratis
WP

Redazione WebProfessionisti

WebProfessionisti è specializzata in siti web, SEO locale e marketing digitale per studi professionali italiani. Ogni guida è scritta e verificata dal nostro team di esperti.

Scopri i nostri servizi →

Fonti e riferimenti

Termini dal glossario

GDPR

Il GDPR, Regolamento europeo sulla protezione dei dati personali, definisce principi e diritti per chi tratta dati di persone fisiche nell'Unione. Impatta siti web che raccolgono moduli, newsletter, cookie di profilazione o strumenti analytics. Gli obblighi includono base giuridica del trattamento, informativa chiara, misure di sicurezza e risposta agli esercizio dei diritti degli interessati. Per professionisti, spesso titolari e responsabili di trattamento, vanno mappate le finalità e aggiornati accordi con fornitori. Sanzioni e reputazione sono i rischi principali in caso di violazioni. Il sito deve rendere facile contattare il titolare e gestire consensi ove necessario. La compliance non è statica: nuovi strumenti marketing o chatbot richiedono rivalutazioni periodiche. Documentare le scelte in registro e policy aiuta dimostrabilità in audit.

DPO (Data Protection Officer)

Il DPO (Data Protection Officer), o Responsabile della protezione dei dati, è la figura prevista dagli artt. 37-39 del GDPR con il compito di sorvegliare l'osservanza della normativa privacy in un'organizzazione. Informa e consiglia il titolare e il responsabile esterno del trattamento, vigila sul rispetto del Regolamento, coopera con il Garante e funge da punto di contatto per gli interessati. La nomina è obbligatoria per le autorità pubbliche e per chi effettua trattamenti su larga scala o di categorie particolari di dati; per la maggior parte dei piccoli studi professionali non lo è, ma può essere designato su base volontaria. Il DPO deve possedere competenze giuridiche e informatiche, agire in autonomia e senza conflitto di interessi, e tra i suoi strumenti rientra la supervisione del registro dei trattamenti. È una funzione di controllo distinta da quella, contrattuale, del responsabile esterno.