Lunedì mattina, ambulatorio. Apri la posta certificata e trovi una nota dell'Ordine: "adempimenti privacy per studi sanitari che usano sistemi di IA". La leggi due righe, vedi scritto DPIA obbligatoria, ti viene un mezzo infarto e chiudi tutto. Tranquillo, sei in buona compagnia. Ma il problema non sparisce.
Te la racconto senza il pacchetto da diecimila euro che ti vorrebbe vendere il consulente che ti ha telefonato la settimana scorsa.
Cos'è la DPIA, in due righe
DPIA sta per Valutazione di Impatto sulla Protezione dei Dati. È un documento che ti chiede la legge europea sulla privacy quando il trattamento è ad alto rischio. Per uno studio medico che usa IA, è praticamente sempre obbligatoria. Lo dice il Garante italiano nelle sue indicazioni del 2018.
Il pasticcio in cui finisci se pensi di scaricarne una online
La frase che sento ripetere è: "prendo un template DPIA da Internet, lo compilo, sono a posto". Sbagliato. Il Garante in caso di ispezione vede in due minuti che è copia-incolla. Anche perché le DPIA generiche non descrivono il tuo studio, i tuoi flussi, i tuoi fornitori.
Aggiungi che in Italia il Garante non scherza. Synlab nel 2024 ha pagato 2,5 milioni per dati sanitari finiti dove non dovevano. Per assenza di DPIA quando era obbligatoria, le sanzioni arrivano fino a 10 milioni o 2% del fatturato. Non sono cifre da prendere a ridere.
Cosa NON puoi fare
Non puoi scaricare un template generico, riempirlo a caso e archiviarlo. Il Garante chiede la descrizione del tuo trattamento, dei tuoi fornitori, dei tuoi flussi.
Non puoi delegare la DPIA al fornitore del software. Il fornitore ti aiuta, ma il responsabile sei tu come titolare del trattamento. La firma è la tua, la sanzione anche.
Non puoi considerare la DPIA un documento "una tantum". Cambi gestionale, aggiungi un fornitore IA, modifichi i flussi: la aggiorni. Sennò vale poco.
Non puoi confondere DPIA (impatto privacy) con la valutazione richiesta dalla legge europea sull'IA per il settore pubblico. Per uno studio privato di medio rischio basta la prima.
Cosa invece devi fare
Mettiamola in concreto. Una DPIA seria per uno studio medico singolo si fa in quattro-otto settimane. Costa fra 1.500 e 3.000 euro se affidata a consulente serio. Per studio associato di tre-cinque medici si va sui 3.000-6.000 euro. Aggiornamenti annuali sui 500-1.500 euro.
Servono cinque cose dentro:
Mappatura flussi: da dove arrivano i dati (paziente che ti scrive, FSE, lab esterno), dove vanno, chi li tocca. Un foglio Excel onesto.
Inventario sistemi IA: quale tool usi, quale fornitore, quale server. Se il software medico è certificato CE, allega i documenti del fornitore.
Misure tecniche: cifratura dei dati in transito e a riposo, accessi con password forte e doppio fattore, audit log di chi guarda cosa.
Misure organizzative: formazione del personale (non il corso da venti minuti col certificato in PDF, ma capire davvero), procedure per gli incidenti, audit periodici.
Tempi di conservazione e cancellazione, gestione dei diritti del paziente (accesso, rettifica, opposizione), trasferimenti fuori UE (idealmente: nessuno).
I paletti che non si toccano
Dato sanitario fuori dal cloud commerciale americano. Server in Europa, possibilmente in Italia. Niente ChatGPT pubblico per i referti, mai. Per studi associati con più di 500 pazienti attivi serve il responsabile della protezione dei dati (DPO) anche se non sei un colosso: lo dice la legge europea, costa 3.000-5.000 euro all'anno per uno studio medio.
Tradotto in numeri spicci: 5.000 euro all'anno per essere a posto, contro decine di migliaia di sanzione e il danno reputazionale. La matematica è brutalmente semplice. E in più dormi la notte.
Una cosa che vedo spesso e che fa schifo: il consulente che ti vende DPIA "chiavi in mano" a 800 euro. Quella roba lì è copia-incolla travestita. Se lo fa il Garante in ispezione, ti smonta in venti minuti.
Una nota personale
Faccio consulenza IA per studi medici italiani. Non vendo DPIA, non sono DPO. Però ti so dire dove il sistema IA fa acqua e dove regge. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di queste cose ogni giorno, e si risponde gratis.
La nota dell'Ordine, intanto, riaprila. Stavolta fino in fondo.