Caro collega medico, mettiamoci comodi. Sei in ambulatorio, hai quaranta pazienti in lista, e pensi: "Faccio un riassunto veloce con ChatGPT della cartella della signora Maria". Stop. Hai appena commesso una violazione potenziale dell'art. 78 del Codice Deontologico FNOMCeO. Non lo dico io, lo dice la Federazione Nazionale degli Ordini dei Medici. E te lo spiego senza giri di parole, perché è meglio sapere prima.
L'art. 78 recita che il medico deve mantenere il segreto su tutto ciò che gli è confidato o di cui venga a conoscenza nell'esercizio della professione. Tutto. Non "i dati sensibili", non "le malattie gravi". Tutto. Anche il fatto che la signora Maria sia venuta da te. Anche solo che esiste una signora Maria nei tuoi assistiti.
Il pasticcio in cui finisci
Quando incolli una cartella clinica su ChatGPT (server OpenAI in USA), Claude consumer (Anthropic, USA), Gemini (Google, USA), stai trasferendo dati sanitari speciali ex art. 9 GDPR a un soggetto terzo extra-UE senza base giuridica adeguata. Doppia violazione: deontologica e privacy.
I rischi sovrapposti sono tre. Sanzione disciplinare FNOMCeO: l'Ordine può aprire procedimento disciplinare ex art. 38 e seguenti del Codice. Per violazione del segreto professionale (art. 78) la sanzione minima è la censura, ma in casi di trasferimento massivo di dati a terzi si arriva alla sospensione fino a sei mesi. Caso documentato: medico lombardo sospeso trenta giorni nel 2025 per uso non autorizzato di servizio cloud USA con dati pazienti.
Sanzione del Garante Privacy: trasferimento extra-UE di dati sanitari ex art. 9 GDPR senza base giuridica e senza valutazione di adeguatezza, sanzione fino a venti milioni di euro o al 4% del fatturato annuo globale (art. 83 GDPR). Per uno studio medico associato si parla di decine di migliaia di euro. Il Garante italiano ha già bloccato ChatGPT nel 2023 e tiene d'occhio il settore sanitario, come dimostra il caso Synlab 2024 da 2,5 milioni di sanzione.
Causa civile dal paziente: risarcimento danno non patrimoniale ex art. 2059 c.c. e art. 82 GDPR. Casi simili (data breach sanitari) si risolvono con tremila-quindicimila euro per paziente. Se hai cinquecento cartelle nel sistema, fai i conti tu.
Quello che si può fare bene
Esistono modelli di intelligenza artificiale che girano in locale, in Europa, sul tuo server, dove i dati che gli passi non finiscono nel training set di nessuno e dove tu controlli i log. Quando dico IA non intendo ChatGPT su browser personale: intendo un sistema che vive dentro le mura del tuo studio.
Cosa puoi mettere nel prompt, anche su un servizio non sanitario, con anonimizzazione totale: sintomi astratti senza dati anagrafici (età, sesso, città), domande generiche su patologie ("quali differenziali per cefalea più fotofobia in donna 40-50 anni?"), riassunti di linee guida pubbliche, bozze di lettere SENZA nome paziente sostituito da [PAZIENTE]. Cosa non puoi mai metterci, neanche su servizio "sanitario": cartelle cliniche complete, referti con codice fiscale o nome, foto di esami strumentali con metadati, audio di anamnesi (anche solo "trascrivimi questa visita").
Cosa non delegare, mai
Non pensare che basti togliere il nome. Una donna di 47 anni di Frosinone con sclerodermia diagnosticata nel 2019 e in cura presso il Dr. Bianchi è identificabile in trenta secondi con LinkedIn e una telefonata in segreteria. Lo dice il Considerando 26 GDPR: la pseudonimizzazione non è anonimizzazione. Resta dato personale ai sensi art. 4 GDPR.
Non usare account personale gratuito di servizi consumer per lavoro clinico. I dati spesso vengono usati per addestramento. Servirebbe almeno un account business con DPA conforme, e anche così il dato sanitario in trasferimento extra-UE non è regolato.
La Cassazione 28985/2019 sulla responsabilità del medico copre anche i danni derivanti da trasmissione di informazioni a soggetti non autorizzati. Non si scappa.
I paletti privacy che non si toccano
Server in Europa, modello in casa, file cifrati in transito e a riposo, cancellazione automatica delle interrogazioni dopo qualche giorno, audit log di chi ha consultato cosa e quando. Pseudonimizzazione del paziente prima del prompt, e anche con la pseudonimizzazione, infrastruttura interna o europea con DPA conforme. Nell'informativa al paziente la voce "supporto IA" dichiarata, e nel registro dei trattamenti dello studio la stessa.
La regola d'oro
Davanti al dubbio "posso metterlo dentro questo prompt?", la domanda è semplice: il paziente può essere identificato, anche solo indirettamente, da chi vede il prompt? Se la risposta è "forse sì", non lo metti. Se la risposta è "decisamente no", verifica comunque dove finisce il prompt e chi lo legge. Su sistema in casa, tutto resta tuo. Su servizio cloud non sanitario, nulla resta tuo.
Una nota personale
Io di mestiere costruisco roba così — sistemi IA privati per medici, studi associati, piccole imprese italiane. Non vendo corsi, non vendo abbonamenti, non vendo formule magiche. Mi occupo di gente che ha cose serie da proteggere e poco tempo per smanettare. Se ti capita di avere domande, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si discute di queste cose ogni giorno, e si risponde gratis.
La signora Maria del lunedì mattina merita che le sue informazioni restino tra te e lei. È la base del rapporto di fiducia che fa funzionare tutto, ed è scritto nero su bianco nell'art. 78 del Codice Deontologico. Le scorciatoie tecnologiche non valgono il rischio.