Il Garante della Privacy fa un controllo a campione su uno studio odontoiatrico di Bologna. Chiede: registro dei trattamenti, valutazione di impatto (DPIA) per il gestionale, informative ai pazienti, nomine ai responsabili esterni (laboratorio, commercialista, software house). Lo studio ha solo le informative, mai aggiornate dal 2018. Sanzione: 35.000 euro. Storia vera, anonima ma documentata in più provvedimenti del Garante.
Il GDPR per uno studio sanitario è impegnativo. L'IA può aiutarti a costruire il sistema documentale, non a sostituire il consulto con un esperto privacy quando si entra nel merito tecnico.
Il problema: tutti pensano di essere a posto, quasi nessuno lo è
L'errore tipico è confondere il GDPR con la "firma sull'informativa privacy". L'informativa è solo uno dei tasselli. Mancano spesso:
- Registro dei trattamenti (art. 30 GDPR), obbligatorio anche per studi piccoli quando trattano categorie particolari.
- Valutazione di impatto (DPIA) per trattamenti ad alto rischio, e i dati sanitari su software gestionale rientrano spesso.
- Nomina a responsabile (art. 28 GDPR) di ogni fornitore che accede ai dati: gestionale, cloud backup, commercialista, laboratorio odontotecnico.
- Protocollo data breach con tempistiche di notifica entro 72 ore (art. 33 GDPR).
- Registro delle violazioni anche quando non notificate.
Come si fa: l'IA per i template, l'esperto per la sostanza
L'IA è ottima per generare scheletri di documenti che poi adatti alla tua realtà. Mai usarla come consulente legale finale, perché sbaglia su clausole tecniche e su giurisprudenza recente.
Prompt da copiare: "Sei un consulente privacy che assiste studi odontoiatrici italiani per la conformità GDPR (Regolamento UE 2016/679) e Codice Privacy italiano (D.Lgs 196/2003). Devo predisporre il registro dei trattamenti ex art. 30 GDPR per uno studio odontoiatrico individuale con 1 dentista titolare, 1 igienista collaboratrice, 1 segretaria. Genera la struttura del registro in tabella con almeno questi trattamenti: 1) gestione anagrafica pazienti, 2) gestione cartella clinica e dati sanitari, 3) fatturazione e adempimenti fiscali (compreso invio TS), 4) marketing/newsletter (se applicabile), 5) videosorveglianza area attesa (se applicabile), 6) gestione candidature lavoro, 7) gestione fornitori. Per ogni trattamento riporta: titolare, finalità, base giuridica, categorie di interessati, categorie di dati, destinatari, trasferimenti extra-UE, tempi di conservazione, misure di sicurezza tecniche e organizzative. Italiano professionale. Indica esplicitamente dove la valutazione caso per caso richiede consulenza specialistica."
Hai uno scheletro solido da rivedere con un consulente privacy specializzato in sanità. Costo finale ridotto, perché parti da un draft serio.
I 5 trattamenti che spesso dimentichi
- WhatsApp aziendale per appuntamenti: trattamento dati personali su piattaforma di terzi (Meta), base giuridica debole, va inserito a registro con misure di mitigazione.
- Google Workspace dello studio: email professionale su Gmail Business include trattamento dati pazienti se rispondi ad email cliniche. Va nominata responsabile Google con DPA standard.
- Backup su NAS esterno: cifratura obbligatoria, custodia in luogo separato dallo studio principale, log di accesso.
- Foto intraorali su smartphone personale: orrore privacy. Vanno usati solo dispositivi aziendali con cifratura, trasferimento immediato al gestionale e cancellazione dallo smartphone.
- Cestino della spazzatura con stampe scartate: i fogli con dati pazienti vanno distrutti con tritadocumenti, non gettati. Sembra banale, è la violazione più contestata in caso di ispezione.
La DPIA: quando serve davvero
La Valutazione d'Impatto sulla Protezione dei Dati (Data Protection Impact Assessment) è obbligatoria quando il trattamento presenta rischio elevato per diritti e libertà degli interessati (art. 35 GDPR).
Per uno studio odontoiatrico la DPIA è raccomandata su:
- Gestionale clinico (trattamento sistematico di categorie particolari).
- Telemedicina o teleconsulto se attivato.
- Videosorveglianza in aree dove transitano pazienti.
La DPIA va fatta prima dell'avvio del trattamento, e aggiornata in caso di cambiamenti significativi (nuovo gestionale, nuovo cloud, nuove finalità).
Il data breach: cosa fare nelle prime 72 ore
Definizione (art. 4 GDPR): violazione di sicurezza che comporta accidentalmente o illecitamente distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali. Esempi pratici: ransomware su gestionale, email con allegati paziente mandata al destinatario sbagliato, furto laptop con dati clinici, accesso non autorizzato di ex collaboratore.
Ora zero: scoperta. Ora +24: valutazione interna del rischio. Ora +48: bozza notifica al Garante e comunicazione interessati. Ora +72: invio notifica al Garante con modulo telematico se rischio non basso.
Conservi tutto in un registro delle violazioni (anche quelle non notificate), per documentare valutazione e decisioni in caso di ispezione successiva.
Riferimenti normativi: l'apparato
Il Regolamento UE 2016/679 (GDPR) è la fonte primaria. Articoli chiave per la sanità: art. 5 (principi), art. 6 (basi giuridiche), art. 9 (categorie particolari incluse dati sanitari), art. 28 (responsabili del trattamento), art. 30 (registro), art. 32 (sicurezza), art. 33-34 (data breach), art. 35-36 (DPIA).
Il D.Lgs 196/2003 (Codice Privacy) come modificato dal D.Lgs 101/2018 integra il GDPR a livello nazionale. Per la sanità rilevano art. 2-septies (misure di garanzia) e art. 78-85 sulla disciplina dei trattamenti sanitari.
Il Provvedimento Garante 5 giugno 2019 definisce le misure di garanzia per i dati sanitari: log di accesso, cifratura, formazione del personale, valutazioni periodiche.
Le sanzioni amministrative arrivano fino a 20 milioni di euro o 4% del fatturato annuo (art. 83 GDPR), con criteri di proporzionalità. Per studi piccoli le sanzioni reali documentate vanno da 5.000 a 50.000 euro.
Approfondimenti: DPIA e data breach nel dizionario. Articoli collegati: cartelle cliniche e consenso informato.
La formazione del personale: l'anello debole sempre
La segretaria che lascia il monitor aperto con la lista pazienti del giorno mentre va in bagno. L'igienista che usa la chiavetta USB personale per portarsi a casa le foto cliniche. L'odontotecnico esterno che ti manda i file via WhatsApp. Il GDPR non riguarda solo i tecnologie: riguarda comportamenti quotidiani delle persone.
Programma una formazione annuale obbligatoria di due ore per tutti i collaboratori, anche se sono solo due persone oltre te. Documenta partecipazione con firma. In caso di data breach causato da comportamento del personale, la formazione documentata e' l'unico elemento che dimostra la tua diligenza datoriale.
Domande frequenti
Se ho meno di 250 pazienti devo comunque tenere il registro trattamenti?
Sì. L'esonero dell'art. 30 paragrafo 5 GDPR per soggetti sotto 250 dipendenti non si applica quando si trattano categorie particolari (dati sanitari) in modo non occasionale. Per uno studio odontoiatrico il trattamento sanitario è sistematico, quindi registro obbligatorio.
Devo nominare un DPO?
Non obbligatoriamente per studio individuale piccolo. Diventa obbligatorio per attività principale che consiste in trattamento su larga scala di categorie particolari (linee guida WP243). Per cliniche poliambulatoriali con migliaia di pazienti attivi il DPO è raccomandato dal Garante in più pareri. Per studi sotto 1.500 pazienti attivi tipicamente non obbligatorio, ma utile nominare un "referente privacy" interno.
Cosa rischio se uso ChatGPT per redigere risposte ai pazienti?
Se nel testo che incolli ci sono dati identificativi del paziente (nome, codice fiscale, condizione clinica), violi GDPR perché trasferisci dati sanitari a OpenAI fuori UE senza base giuridica e senza DPA. Sanzione potenziale alta. Soluzione: usa l'IA solo per template generici, anonimizza sempre i contenuti reali, oppure usa modelli IA on-premise o con sede UE certificata.