Protezione dei dati

GDPR in sanità: guida per strutture sanitarie e ASL

GDPR in sanità: come trattano i dati ospedali, ASL e studi medici. Basi giuridiche art. 9, dossier sanitario, FSE 2.0 e le sanzioni del Garante nel settore.

Also available in:Français·Español·Deutsch·Nederlands

Il GDPR in sanità ruota attorno a un dato speciale: quello relativo alla salute, che l’art. 9 del Regolamento (UE) 2016/679 (GDPR) classifica tra le categorie particolari, il cui trattamento è in linea di principio vietato salvo ricorra una delle condizioni tassative previste. Ospedali, ASL, cliniche e studi medici devono individuare la condizione corretta — che, per le finalità di cura, non è il consenso — e presidiare dossier sanitario, referti e Fascicolo Sanitario Elettronico con misure di sicurezza adeguate al rischio. Questa guida spiega basi giuridiche, obblighi e le sanzioni ricorrenti del Garante nel settore.

Punti chiave

  • I dati sulla salute sono categorie particolari ex art. 9 GDPR: trattamento vietato salvo eccezioni.
  • Per le finalità di cura la base è l’art. 9, par. 2, lett. h — non il consenso.
  • L’art. 75 del Codice Privacy disciplina il trattamento per finalità di cura in ambito sanitario.
  • Il dossier sanitario elettronico e il FSE 2.0 hanno regole di accesso specifiche.
  • Il ransomware è lo scenario di violazione tipico del settore: nel 2024 il caso Synlab ha esposto grandi volumi di dati sanitari.

Perché in sanità il consenso non è la base della cura

L’errore più diffuso è credere che per curare un paziente serva il suo consenso al trattamento dei dati. Non è così. Il consenso è una delle condizioni dell’art. 9, ma per le finalità di medicina preventiva, diagnosi, assistenza e terapia il fondamento corretto è l’art. 9, par. 2, lett. h GDPR, che consente il trattamento «necessario per finalità di medicina preventiva o del lavoro, […] diagnosi, assistenza o terapia sanitaria», sulla base del diritto dell’Unione o nazionale e a opera di un professionista soggetto al segreto professionale (par. 3).

Nell’ordinamento italiano questa base è precisata dall’art. 75 del Codice Privacy, che àncora il trattamento per finalità di cura alle condizioni dell’art. 9. Ne consegue che il paziente in pronto soccorso viene curato — e i suoi dati trattati — anche se non firma un modulo di consenso: la cura non può dipendere da un consenso che, tra l’altro, in quel contesto non sarebbe nemmeno «libero». Il consenso torna invece necessario per finalità ulteriori e non essenziali (ricerca in alcuni casi, marketing di servizi sanitari, alcune condivisioni), dove va raccolto in modo esplicito.

Dossier sanitario, referti e Fascicolo Sanitario Elettronico

Il dossier sanitario elettronico raccoglie la storia clinica del paziente all’interno di una singola struttura. Il Garante ne ha regolato l’accesso con proprie linee guida: l’accesso deve essere limitato al personale che ha in cura il paziente in quel momento, tracciato tramite log e circoscritto secondo il principio del minimo necessario. Gli accessi non autorizzati o per curiosità ai dossier — il classico caso dell’operatore che consulta la cartella di un vip o di un conoscente — sono tra le violazioni più sanzionate nel comparto.

Il Fascicolo Sanitario Elettronico (FSE 2.0) opera invece a livello regionale/nazionale e aggrega dati provenienti da più titolari. Il suo assetto è definito dalla normativa di settore e prevede regole specifiche di alimentazione, consultazione e diritti dell’assistito. Chi gestisce questi sistemi deve mappare con precisione chi accede a cosa e conservare traccia degli accessi: il registro dei trattamenti e le misure di logging sono qui il cuore della conformità.

L’invio di referti al recipiente sbagliato — email a un omonimo, referto consegnato alla persona errata — è un’altra fattispecie ricorrente, che integra una violazione di dati particolari con potenziale rischio elevato per l’interessato.

Gli obblighi delle strutture sanitarie

Il settore concentra, quasi tutti insieme, gli adempimenti a rischio più alto:

  • DPO obbligatorio: gli organismi pubblici (art. 37, par. 1, lett. a) e i soggetti che trattano su larga scala categorie particolari (lett. c) devono nominare il Responsabile della protezione dei dati (RPD/DPO). Ospedali, ASL e grandi cliniche vi rientrano quasi sempre.
  • DPIA: i trattamenti sanitari su larga scala richiedono di regola una valutazione d’impatto sulla protezione dei dati, come indicato anche dal provvedimento del Garante sull’elenco dei trattamenti soggetti a DPIA.
  • Misure di sicurezza rafforzate (art. 32): cifratura, controllo degli accessi basato sui ruoli, logging, segregazione delle reti. Dove possibile, la pseudonimizzazione dei dati riduce il rischio in caso di violazione.
  • Gestione dei responsabili (art. 28): fornitori di software gestionale, servizi cloud, laboratori esterni vanno nominati responsabili con un DPA.
  • Procedura di data breach: dato il rischio elevato tipico del settore, serve un processo rodato per la notifica della violazione al Garante entro 72 ore.

Le sanzioni ricorrenti nel settore sanitario

Il Garante pubblica ogni anno, nei propri provvedimenti e nella relazione annuale, i pattern sanzionatori del comparto sanitario. I ricorrenti sono tre: accessi abusivi ai dossier da parte di personale non coinvolto nella cura; referti inviati a destinatari errati; violazioni per attacchi informatici su sistemi non adeguatamente protetti. Il caso più significativo degli ultimi anni è l’attacco ransomware a Synlab Italia del 2024, che ha portato alla compromissione e alla diffusione di ingenti quantità di dati sanitari di pazienti — lo scenario-tipo del rischio elevato nel settore.

La lezione operativa è coerente in tutti i casi: profilare gli accessi sul bisogno effettivo, tracciarli, cifrare, e avere una procedura di risposta agli incidenti pronta prima che serva. Per una rassegna dedicata dei casi e degli importi rimando alle sanzioni del Garante in sanità.

Impostare la conformità in una struttura sanitaria

Il punto di partenza è la mappatura: quali trattamenti, quali sistemi, quali accessi, quali fornitori. Da lì discendono nomine, DPIA, informative differenziate per paziente e dipendente, e la procedura di breach. Tenere insieme, a mano, questa architettura in un ospedale o in una ASL con centinaia di operatori e decine di applicativi è la ragione per cui la documentazione si disallinea. Piattaforme come Legiscope mappano i trattamenti, collegano fornitori, DPIA e registro delle violazioni e mantengono la documentazione coerente, riducendo lo scarto tra la conformità «sulla carta» e quella reale.

Per approfondire: il testo dell’art. 9 GDPR su EUR-Lex, la sezione sanità del Garante per la protezione dei dati personali e il Codice Privacy su Normattiva per l’art. 75.

Domande frequenti

Serve il consenso del paziente per trattarne i dati sanitari a fini di cura?

No. Per le finalità di cura la base giuridica è l’art. 9, par. 2, lett. h GDPR, letto con l’art. 75 del Codice Privacy, non il consenso. La cura non può dipendere da un consenso che, nel contesto sanitario, spesso non sarebbe nemmeno libero. Il consenso esplicito serve invece per finalità ulteriori e non essenziali, come alcune attività di ricerca o di marketing.

Un ospedale o una ASL devono nominare il DPO?

Sì. Gli enti pubblici sono tenuti alla nomina del DPO ex art. 37, par. 1, lett. a, e chi tratta su larga scala dati sanitari vi è tenuto ex lett. c. Ospedali, ASL e grandi strutture rientrano in entrambe le ipotesi. La nomina va comunicata al Garante e il DPO deve poter operare in autonomia e con risorse adeguate.

Chi può accedere al dossier sanitario elettronico?

Solo il personale coinvolto nel processo di cura del paziente in quel momento, secondo il principio del minimo necessario e con accessi tracciati. Le linee guida del Garante impediscono la consultazione indiscriminata: gli accessi «per curiosità» a cartelle di pazienti non in cura sono violazioni sanzionabili. Il paziente ha inoltre diritto di conoscere chi ha avuto accesso ai propri dati.

Cosa deve fare una struttura sanitaria in caso di attacco informatico con perdita di dati?

Attivare subito il contenimento, valutare il rischio e, se questo è presente, notificare la violazione al Garante entro 72 ore (art. 33). In caso di rischio elevato — frequente con i dati sanitari — va data anche comunicazione ai pazienti interessati (art. 34). Dato il profilo di rischio del settore, è essenziale avere la procedura di data breach già rodata e le misure di cifratura in essere.

Vedi anche: un modello di DPIA fac-simile per i trattamenti sanitari a rischio elevato e la guida al GDPR per le assicurazioni, che trattano anch’esse dati sulla salute.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →