Collega, parliamoci chiaro. So che ChatGPT è comodo. So che hai poco tempo. So che pensi "tanto chi lo viene a sapere". Ma ti devo proprio rovinare la giornata: usare ChatGPT con dati identificabili dei pazienti è una bomba a orologeria. E ti dico esattamente cosa rischi, con riferimenti normativi precisi.
Caso documentato: medico lombardo, sospensione FNOMCeO 30 giorni nel 2025, per uso non autorizzato di servizio cloud USA con dati pazienti. Non è un esempio teorico, è successo davvero, e il caso è agli atti dell'Ordine.
I tre rischi sovrapposti
Sanzione disciplinare FNOMCeO
L'Ordine dei Medici può aprire procedimento disciplinare ex art. 38 e seguenti del Codice. Per violazione del segreto professionale (art. 78) la sanzione minima è la censura, ma in casi di trasferimento massivo di dati a terzi si arriva alla sospensione fino a sei mesi. Per il caso lombardo del 2025: trenta giorni, motivazione "trasferimento sistematico di dati sanitari a soggetto terzo extra-UE in assenza di base giuridica".
Sanzione del Garante Privacy
Trasferimento extra-UE di dati sanitari ex art. 9 GDPR senza base giuridica e senza valutazione di adeguatezza: sanzione fino a venti milioni di euro o al 4% del fatturato annuo globale (art. 83 GDPR). Per uno studio medico associato si parla di decine di migliaia di euro, ma per una struttura ospedaliera o un poliambulatorio si va sui sei zeri. Il Garante italiano ha già bloccato ChatGPT nel 2023 e tiene d'occhio il settore sanitario: il caso Synlab 2024 da 2,5 milioni ne è la dimostrazione concreta.
Causa civile dal paziente
Risarcimento danno non patrimoniale ex art. 2059 c.c. e art. 82 GDPR. Casi simili (data breach sanitari) si risolvono con tremila-quindicimila euro per paziente. Se hai cinquecento cartelle nel sistema, e fosse in causa una class action, fai i conti tu. La Cassazione 28985/2019 sulla responsabilità del medico copre anche i danni derivanti da trasmissione di informazioni a soggetti non autorizzati.
Cosa fare per uscirne
Audit immediato: elenca tutti i tool IA che hai usato negli ultimi mesi (ChatGPT, Copilot, Gemini, Notion AI, plugin del browser, app di trascrizione vocale). Verifica account: se hai usato account personale, i dati sono già nel training set. Account business con DPA non risolve sempre il problema (il Cloud Act USA prevale, come ribadito dalla Cassazione del 2024 sui trasferimenti extra-UE).
Blocca subito: non incollare più nulla di identificabile. Migra a soluzioni in casa o europee: modelli di intelligenza artificiale che girano in locale, in Europa, su un tuo server, senza inviare nulla all'esterno. Aggiorna l'informativa privacy: indica strumenti IA effettivamente usati e finalità. Fai DPIA (Data Protection Impact Assessment): obbligatoria per trattamenti su larga scala di dati sanitari (art. 35 GDPR).
Cosa puoi fare e cosa no
Domande astratte senza dati anagrafici, su un servizio anche generalista: ammesso. "Quali differenziali per cefalea più fotofobia in donna 40-50?" non è dato sanitario di nessuno. Diventa dato sanitario nel momento in cui aggiungi la città, la professione, il quartiere o qualsiasi elemento che permetta la re-identificazione.
Riassunti di linee guida pubbliche, bozze di lettere senza nomi: ammesso. Cartelle cliniche, referti con codice fiscale, foto di esami strumentali con metadati, audio di anamnesi: mai, neanche con account business e DPA, finché non hai infrastruttura sanitaria certificata in casa o europea.
Anche un "tanto ho tolto il nome" non basta. Pseudonimizzazione non è anonimizzazione: lo dice il Considerando 26 GDPR. Una donna di 47 anni di Frosinone con sclerodermia diagnosticata nel 2019 e in cura presso il Dr. Bianchi è identificabile in trenta secondi.
I paletti privacy che non si toccano
Server in Europa, modello in casa, file cifrati in transito e a riposo, cancellazione automatica delle interrogazioni dopo qualche giorno, audit log di chi ha consultato cosa. Pseudonimizzazione spinta del paziente prima del prompt. Niente plugin del browser che mandano i testi a chissà chi. Il dato entra, esce processato, l'unica copia resta dentro.
L'AI Act UE classifica i sistemi sanitari come ad alto rischio: trasparenza, supervisione umana, log delle decisioni. Non è opzionale, e l'Ordine dei Medici si sta strutturando per controllare.
La regola d'oro
Davanti al prompt, la domanda è una sola: il paziente può essere identificato anche solo indirettamente da chi vede il testo? Se la risposta è "forse sì", non lo mandi. Se la risposta è "decisamente no", verifica comunque dove finisce e chi lo legge. ChatGPT su account personale gratuito: server USA, dati nel training, controllo zero. Sistema in casa: server tuo, dati tuoi, controllo totale.
Una nota personale
Io di mestiere costruisco roba così — sistemi IA privati per medici, studi associati, piccole imprese italiane. Non vendo corsi, non vendo abbonamenti, non vendo formule magiche. Mi occupo di gente che ha cose serie da proteggere e poco tempo per smanettare. Se ti capita di avere domande, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si discute di queste cose ogni giorno, e si risponde gratis.
Il medico lombardo sospeso trenta giorni nel 2025 ha ripreso a lavorare senza ChatGPT consumer, con un sistema messo a posto come si deve. Il danno reputazionale dell'Albo, però, resta. Vale la pena? La risposta è abbastanza ovvia.