Domande & Risposte STUDI MEDICI
Trova le risposte alle domande più comuni sul GDPR relative agli STUDI MEDICI: spiegazioni semplici e pratiche per chiarire dubbi, comprendere gli obblighi e orientarti con sicurezza verso la conformità.
⚠️ Disclaimer
Le informazioni hanno scopo divulgativo e non sostituiscono la consulenza legale.
Inserisci una parola chiave per cercarla nei titoli delle domande. Le corrispondenze verranno evidenziate in rosso.
Il Responsabile della Protezione dei Dati (DPO/RPD): ruolo e obblighi
Il Data Protection Officer (DPO) è una figura chiave nel sistema GDPR, con funzioni di:
✔ Consulenza interna su adempimenti privacy
✔ Sorveglianza sull’osservanza del regolamento
✔ Punto di contatto con autorità e interessati
Obbligo di nomina del DPO (Art. 37 GDPR)
La designazione è obbligatoria per:
Pubbliche Amministrazioni
Obbligatorie per tutti gli enti pubblici
Eccezione: autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
Attività di trattamento su larga scala
Trattamento sistematico e regolare di dati particolari (ex sensibili)
(es: dati sanitari, biometrici, giudiziari)Monitoraggio sistematico di persone (es: profilazione, telecamere, geolocalizzazione)
Core business basato su dati
Aziende il cui modello operativo si fonda su:
Trattamento intensivo di dati personali
Attività di monitoraggio regolare (es: big data, advertising digitale)
Requisiti del DPO (Art. 37-39 GDPR)
Competenze giuridiche e tecniche in materia di privacy
Indipendenza nell’esercizio delle funzioni
Accesso diretto al vertice aziendale
Assenza di conflitti d’interesse (es: non può essere il Responsabile IT o il Legal Counsel)
Casi pratici di obbligo
▪ Ospedali e cliniche (dati sanitari)
▪ Banche e assicurazioni (dati finanziari + profilazione)
▪ Grandi retailer online (monitoraggio utenti)
▪ Comuni e enti locali (trattamento dati cittadini)
Nota: Anche quando non obbligatorio, la nomina è consigliata come best practice per dimostrare compliance.
Sanzioni per mancata nomina (Art. 83 GDPR):
Fino a 10 milioni di € o 2% del fatturato globale se l’obbligo viene ignorato.
Il DPO non è un mero adempimento formale, ma un asset strategico per:
Mitigare rischi
Costruire fiducia con clienti
Ottimizzare i processi data-driven
*Per i dettagli operativi: Artt. 37-39 GDPR e Linee Guida WP29 (ora EDPB) n. 243/2016.*
Ruolo e Compiti del Responsabile della Protezione dei Dati (RPD/DPO)
Il Data Protection Officer (DPO) opera con piena autonomia e indipendenza, riferendo direttamente al Titolare del trattamento o ai vertici aziendali, senza subire influenze gerarchiche da altri dirigenti.
Principali Compiti del DPO (Art. 39 GDPR)
1. Funzione consultiva e di supporto
Informare e consigliare Titolare/Responsabile del trattamento sugli obblighi GDPR
Fornire pareri su Valutazioni d’Impatto (DPIA – Data Protection Impact Assessment)
Monitorare l’applicazione delle policy aziendali in materia di privacy
2. Sorveglianza e controllo della compliance
Verificare il rispetto della normativa privacy (GDPR e legislazione nazionale)
Sensibilizzare e formare il personale e gli auditor interni
Tenere traccia degli adempimenti (es. registri delle attività di trattamento)
3. Interfaccia con gli interessati e le autorità
Punto di contatto per i cittadini
Gestire richieste di esercizio dei diritti (accesso, cancellazione, portabilità, ecc.)
Rispondere a reclami o segnalazioni su violazioni dati
Interlocutore con il Garante Privacy
Collaborare con l’autorità di controllo
Consultare il Garante su dubbi interpretativi o casi complessi
Segnalare eventuali violazioni (data breach)
4. Gestione del rischio e accountability
Valutare i rischi legati ai trattamenti dati e proporre misure correttive
Promuovere approcci proattivi come Privacy by Design e Privacy by Default
Supportare la risposta a incidenti (es. data breach)
Indipendenza e Autonomia del DPO (Art. 38 GDPR)
Nessuna interferenza da parte di altri dirigenti
Accesso prioritario alle decisioni strategiche in materia di dati personali
Divieto di sanzioni o ritorsioni per l’esercizio delle sue funzioni
Casi Pratici di Intervento del DPO
✔ Introduzione di un nuovo software CRM → Verifica conformità GDPR
✔ Violazione dati (data breach) → Coordinamento con il Garante e notifica agli interessati
✔ Richiesta di cancellazione dati (right to be forgotten) → Gestione della procedura interna
Sanzioni per Mancato Supporto al DPO
Multe fino a 10 milioni di € o 2% del fatturato globale (Art. 83 GDPR) se l’azienda ostacola il suo lavoro.
Perché il DPO è Strategico?
Previene sanzioni garantendo compliance
Migliora la reputazione aziendale
Facilita l’innovazione in ottica privacy-aware
*Riferimenti normativi: Artt. 37-39 GDPR e Linee Guida WP29 n. 243/2016 (EDPB).*
Designazione (Persona Fisica/Giuridica, Interno/Esterno)
Il GDPR (Art. 37) e le Linee Guida WP29/EDPB forniscono flessibilità nella scelta del DPO, ma con precisi requisiti per garantire indipendenza ed efficacia.
1. DPO INTERNO vs. ESTERNO
| DPO Interno (Dipendente) | DPO Esterno (Consulente/Società Esterna) |
|---|---|
| ✔ Designabile come dipendente dell’azienda | ✔ Può essere un libero professionista o una società di servizi |
| ✔ Deve evitare conflitti di interesse (es. non può essere il Responsabile IT, Legal, HR o chi decide sui trattamenti) | ✔ Deve garantire continuità operativa e risorse adeguate |
| ✔ Più integrato nei processi aziendali | ✔ Maggiore indipendenza, ma con necessità di accesso ai dati e processi |
2. PERSONA FISICA vs. GIURIDICA
Il DPO deve essere una persona fisica identificabile (anche se la consulenza è affidata a una società esterna).
Esempio: Se un’azienda incarica uno studio legale, quest’ultimo deve nominare un referente fisico come DPO (Linee Guida WP29, punto 2.4).
Non è ammesso un “DPO collettivo” (es. un team senza un unico referente).
3. REQUISITI ESSENZIALI
Indipendenza (nessuna interferenza da parte del Titolare/Responsabile del trattamento)
Assenza di conflitti d’interesse (es. il DPO non può essere chi decide come usare i dati)
Competenze giuridiche + tecniche (conoscenza GDPR e settore di attività)
Disponibilità e risorse (tempo e strumenti per svolgere i compiti)
4. OBBLIGHI FORMALI
Pubblicità del nominativo (il DPO deve essere comunicato al Garante Privacy e agli interessati).
Punto di contatto unico (anche se la consulenza è esterna, deve esserci un solo referente per autorità e cittadini).
Casi Pratici
Multinazionale: Spesso sceglie un DPO interno (es. un dirigente dedicato).
PMI: Opta per un DPO esterno (es. studio legale specializzato).
Pubblica Amministrazione: Di solito nomina un dipendente interno (es. Responsabile Privacy).
Sanzioni per Errori nella Designazione
Mancata nomina (se obbligatoria): Fino a 10 milioni di € o 2% del fatturato.
Conflitto di interesse: Il DPO non è efficace e l’azienda rischia sanzioni per mancata compliance.
*Riferimenti: Art. 37-39 GDPR + Linee Guida WP29 n. 243/2016 (punto 2.4).*
La carenza percepita sulla protezione dei dati personali è legata principalmente a:
📉 Frammentazione normativa e mancanza di armonizzazione
Prima dell’entrata in vigore del Regolamento (UE) 2016/679 (GDPR), la protezione dei dati personali nei diversi Stati membri dell’Unione era disciplinata da leggi nazionali spesso molto diverse tra loro. Questo ha creato:
Incertezze legali per le imprese che operano a livello transfrontaliero
Differenze nei livelli di tutela per i cittadini
Difficoltà di applicazione uniforme da parte delle autorità nazionali
❗️ Conseguenze della frammentazione
Sfiducia crescente dei cittadini nell’affidare i propri dati ai servizi digitali, soprattutto in ambito e-commerce, sanità digitale e social media.
Riluttanza ad adottare nuove tecnologie, soprattutto se percepite come invasive (es. AI, riconoscimento facciale, big data).
Freno all’innovazione e alla competitività europea, poiché le imprese devono affrontare costi e oneri burocratici diversi nei vari paesi.
🌍 Assenza di una tutela globale uniforme
Oltre ai problemi interni all’UE, si aggiunge la mancanza di:
Standard condivisi a livello mondiale sulla protezione dei dati
Garanzie reali contro il trasferimento illecito o non controllato dei dati verso Paesi terzi con livelli di protezione inadeguati
Il Regolamento GDPR è nato proprio per colmare queste lacune:
Uniformando le regole in tutta l’UE
Rafforzando la fiducia dei cittadini
Stimolando l’innovazione responsabile
O o RPD)
Chi può svolgere il ruolo di DPO (Data Protection Officer) o RPD (Responsabile della Protezione dei Dati)?
Secondo l’art. 37, par. 5 del Regolamento GDPR 679/2016, il DPO può essere:
✅ Un consulente esterno
Questa è l’opzione più comune e consigliata, in quanto:
Garantisce autonomia e indipendenza nello svolgimento delle funzioni
Evita possibili conflitti di interesse
Si formalizza il rapporto attraverso un contratto di servizi
✅ Un dipendente interno
Anche se ammesso dal Regolamento, è meno consigliato, perché:
È difficile garantire un’autonomia operativa reale
Potrebbero sorgere conflitti con altre funzioni aziendali (es. responsabile IT, legale o HR)
Deve comunque essere funzionalmente indipendente
⚠️ Requisiti fondamentali del DPO
Secondo il GDPR, il DPO deve:
Avere competenze professionali adeguate (conoscenza specialistica del GDPR e delle prassi in materia di protezione dati)
Essere indipendente e non ricevere istruzioni su come svolgere i compiti
Essere privo di conflitti di interesse
Essere facilmente contattabile da interessati e autorità (es. i suoi dati vanno indicati nell’informativa privacy)
Non è necessaria una certificazione formale, ma la formazione continua è altamente raccomandata
📋 Compiti del DPO (art. 39 del GDPR)
Informare e consigliare il titolare o il responsabile del trattamento
Sorvegliare il rispetto del Regolamento
Fornire pareri su richieste di valutazione d’impatto (DPIA)
Cooperare con l’Autorità di controllo (es. Garante Privacy)
Essere punto di contatto per l’autorità e per gli interessati
🧠 Competenze auspicabili
Approfondita conoscenza del GDPR
Familiarità con la struttura e i processi aziendali
Competenze in sicurezza informatica e gestione dei rischi
Integrità, riservatezza e alti standard etici
Esatto. Il ruolo di DPO (Data Protection Officer) è compatibile con altri incarichi, purché non vi sia conflitto di interessi.
✅ Cosa significa “assenza di conflitto di interessi”?
Il DPO non deve essere coinvolto nelle decisioni operative sul trattamento dei dati. In altre parole, non può decidere “come” e “perché” i dati vengano trattati, ma deve sorvegliare e consigliare chi lo fa.
❌ Incarichi incompatibili (tipicamente con conflitto di interessi):
Amministratore delegato (CEO)
Membro del CDA
Direttore generale
Direttore HR
Direttore marketing
CFO (Direttore finanziario)
Responsabile IT o CIO
Questi ruoli determinano finalità e mezzi del trattamento, quindi non possono controllare sé stessi.
⚠️ Incarichi potenzialmente compatibili, da valutare caso per caso:
Responsabile legale
Compliance officer
Responsabile audit
Responsabile qualità
Questi ruoli non implicano decisioni dirette sui trattamenti, ma devono comunque essere valutati in base all’organizzazione specifica.
🧩 Buona prassi:
Formalizzare in documentazione interna l’assenza di conflitto d’interessi
In caso di dubbio, preferire un consulente esterno, soprattutto nelle PMI o quando non c’è una chiara separazione dei ruoli
Sì, è sufficiente un unico DPO per un intero gruppo imprenditoriale, a condizione che siano rispettati alcuni requisiti previsti dal Regolamento (UE) 2016/679 (GDPR) e dalle Linee guida del Comitato Europeo per la Protezione dei Dati (EDPB).
📌 Riferimento normativo:
Art. 37, par. 2 del GDPR:
“Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati a condizione che tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.”
✅ Requisiti da rispettare:
Facile raggiungibilità del DPO
Il DPO deve essere accessibile da ogni entità del gruppo, anche se è fisicamente ubicato in una sola sede.Ciò significa:
Comunicazioni agevoli via email, telefono, ecc.
Disponibilità a partecipare a riunioni (anche da remoto)
Conoscenza del contesto normativo e organizzativo di ciascuna azienda del gruppo
Conoscenza dei trattamenti
Il DPO unico deve avere una chiara visione dei trattamenti effettuati da tutte le entità del gruppo, anche se differenziati per area geografica o per settore.Adeguate risorse
Il DPO deve disporre di tempo, risorse e personale adeguati per svolgere i compiti in tutte le aziende del gruppo.Assenza di conflitti di interesse
Il DPO deve mantenere indipendenza e autonomia rispetto ai trattamenti effettuati da ciascuna entità del gruppo.
📝 Buona prassi:
Formalizzare la nomina in ciascuna azienda del gruppo
Inserire i dati del DPO in ogni informativa privacy
Assicurare la formazione del DPO su tutti i contesti aziendali coinvolti
Sì, il medico deve adottare specifici adempimenti per garantire la conformità al GDPR quando coinvolge un commercialista nella gestione contabile. Ecco gli step obbligatori:
1. Nomina formale come “Responsabile del Trattamento” (Art. 28 GDPR)
Obbligo: Sottoscrivere un accordo scritto che regoli:
Oggetto e durata del trattamento
Finalità (esclusivamente contabili/fiscali)
Tipologia di dati (solo quelli necessari, es: nome paziente, prestazione, importo)
Obblighi di sicurezza (Art. 32 GDPR)
Divieto di utilizzo per scopi propri da parte del commercialista.
Modello essenziale:
“Il Dott. Rossi nomina il Sig. Bianchi (P.IVA 123) come Responsabile esterno per il trattamento di dati personali dei pazienti strettamente necessari alla tenuta della contabilità e adempimenti fiscali.”
2. Minimizzazione dei dati trasmessi
Principio: Fornire al commercialista solo dati essenziali:
✅ Consentiti: Nome, codice fiscale, importo fattura, data prestazione
❌ Vietati: Diagnosi, terapie, referti (salvo eccezioni tassative, es. fatturazione di prestazioni esenti IVA che richiedono motivazione).
3. Misure di sicurezza obbligatorie
Il medico deve verificare che il commercialista adotti:
Tecniche:
Crittografia di archivi e dispositivi
Autenticazione forte per l’accesso ai sistemi
Organizzative:
Policy di riservatezza per il personale
Registro degli accessi ai dati
Sanzione mancata verifica: Fino a 10 milioni di € (Art. 83.4 GDPR).
4. Informativa privacy aggiornata
Inserire nella propria informativa ai pazienti:
“I Suoi dati anagrafici e fiscali sono comunicati al nostro commercialista esterno, nominato Responsabile del Trattamento, per gli adempimenti contabili. L’elenco dei Responsabili è disponibile presso la nostra segreteria.”
5. Vigilanza attiva (Art. 28.3 GDPR)
Verificare periodicamente (es. annualmente) che il commercialista:
Conservi i dati in modo sicuro
Distrugga i documenti dopo i termini legali (10 anni per fatture)
Segnali immediatamente eventuali violazioni (data breach).
Conseguenze per omissioni
| Violazione | Rischio | Base normativa |
|---|---|---|
| Nessun accordo scritto | Sanzione fino a 20 milioni di € | Art. 83.4 GDPR |
| Trasmissione dati sanitari non necessari | Sanzione fino a 4% fatturato | Art. 83.5 GDPR |
| Mancata informativa al paziente | Reclami al Garante Privacy | Art. 13 GDPR |
Checklist operativa per il medico
Redigere accordo di nomina come Responsabile del Trattamento
Verificare che il commercialista utilizzi strumenti crittografati
Limitare i dati trasmessi a nome, CF e importo fatture
Aggiornare l’informativa privacy per i pazienti
Conservare copia dei backup effettuati dal commercialista
Effettuare audit annuale sulle procedure di sicurezza.
Fonti:
*Linee Guida Garante Privacy 07/2021* (trattamento dati per finalità contabili)
*Parere EDPB 14/2022* sugli obblighi dei Responsabili esterni
In sintesi: Il medico rimane titolare del trattamento ed è legalmente responsabile delle violazioni del commercialista se non ha adottato le misure prescritte dal GDPR. La documentazione scritta e la minimizzazione dei dati sono la prima linea di difesa.
Diritti del Paziente sul Proprio Dati Sanitari (Art. 15-22 GDPR)
1. Diritto di Accesso (Art. 15 GDPR)
Cosa include: Il paziente ha diritto di:
Conferma che siano trattati suoi dati.
Accesso ai dati stessi e alle informazioni correlate (finalità, categorie di dati, destinatari, periodo di conservazione).
Ottenere una copia gratuita dei dati in formato comprensibile (es. PDF, cartaceo).
Tempistica: Il medico deve rispondere entro 30 giorni (prorogabili a 90 per casi complessi).
2. Diritto di Rettifica (Art. 16 GDPR)
Cosa include: Il paziente può chiedere di:
Correggere dati inesatti (es. indirizzo, data di nascita).
Integrare dati incompleti (es. aggiornare l’anamnesi con nuove informazioni).
Obbligo del medico: Verificare e aggiornare prontamente la cartella clinica.
3. Diritto alla Cancellazione (“Diritto all’Oblio”) (Art. 17 GDPR)
Cosa include: Il paziente può chiedere la cancellazione dei dati, ma questo diritto non è assoluto.
Limiti fondamentali nel contesto sanitario:
Il medico può (e deve) rifiutare la cancellazione se il trattamento è necessario per:
Adempimento di un obbligo legale (es. conservazione della cartella clinica per 10+ anni, obbligo di refertazione per m
alattie infettive).
Esercizio di un interesse legittimo (es. difesa in giudizio del medico).
Motivi di interesse pubblico nella sanità (es. prevenzione, diagnosi, ricerca).
4. Diritto alla Portabilità dei Dati (Art. 20 GDPR)
Cosa include: Il paziente ha diritto a:
Ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo (es. file CSV, XML).
Trasmetterli a un altro titolare del trattamento (es. per un secondo parere o per cambiare medico).
Limite: Si applica solo ai dati forniti dal paziente o ottenuti con il suo consenso, non alle interpretazioni o diagnosi del medico (che rimangono di proprietà intellettuale del sanitario, mentre il dato clinico sottostante è portabile).
Procedura Pratica per il Medico
Verifica dell’Identità: Accertarsi sempre che la richiesta provenga effettivamente dal paziente (es. richiesta scritta con firma, presentazione di un documento).
Registro delle Richieste: Tenere un registro per tracciare le richieste e le risposte fornite, utile in caso di contestazioni.
Formato della Risposta: Fornire i dati in forma chiara e comprensibile, evitando tecnicismi eccessivi se non richiesti.
Eccezioni: Valutare se sussistono motivi per limitare un diritto (es. Art. 17 GDPR), documentando le ragioni del eventuale rifiuto.
Casi Specifici e Sanzioni
Scenario Diritto Applicabile Azione del Medico Paziente chiede una copia di tutti i referti Accesso (Art. 15) Fornire copia integrale in formato chiaro. Paziente segnala un errore anagrafico Rettifica (Art. 16) Correggere immediatamente l’errore in cartella. Paziente chiede la distruzione della cartella post-cura Cancellazione (Art. 17) Rifiutare, motivando l’obbligo di conservazione (minimo 10 anni). Paziente che cambia medico e vuole la storia clinica Portabilità (Art. 20) Fornire i dati in formato elettronico strutturato. Sanzioni per il medico in caso di violazione dei diritti dell’interessato: fino a 20 milioni di euro o il 4% del fatturato globale annuale (Art. 83.5 GDPR).
In sintesi, il medico deve facilitare l’esercizio di questi diritti, ma sempre nel quadro dei propri obblighi deontologici e legali, che in alcuni casi (come la conservazione dei dati) prevalgono sulla richiesta di cancellazione del paziente. La trasparenza e la documentazione sono fondamentali.
1. Restituzione di Documenti Originali (es. Radiografia, Referti cartacei)
Diritto di Proprietà: Il documento originale (come una lastra radiografica o un referto cartaceo portato dal paziente) è un bene materiale di proprietà del paziente. Il medico ne è solo il detentore temporaneo.
Obbligo di Restituzione: Su richiesta, il medico è tenuto a restituire l’originale stesso che gli è stato consegnato.
Eccezione: Se il documento è stato fisicamente incorporato nella cartella clinica (es. incollato o forato) in modo tale che la sua rimozione la danneggerebbe, il medico può trattenere l’originale ma deve fornire al paziente una copia autentica e fedele (ad esempio, una scansione ad alta risoluzione).
2. Accesso alla Documentazione Sanitaria (Cartella Clinica)
Diritto di Accesso (Art. 15 GDPR): Il paziente ha il diritto di accedere ai propri dati personali. Questo si traduce nel diritto di ottenere una copia della propria documentazione sanitaria.
Cosa Ottiene il Paziente: Una copia in forma chiara e comprensibile (fotocopia, stampa, PDF inviato via PEC). La cartella clinica originale, in quanto strumento di lavoro e documento probatorio, rimane in possesso del medico o della struttura sanitaria.
Formato: Il paziente può richiedere che la copia gli venga fornita in un formato specifico (cartaceo, digitale). Se è tecnicamente possibile, il medico dovrebbe soddisfare la richiesta.
Sintesi delle Regole
| Scenario | Cosa deve fare il medico | Base Giuridica |
|---|---|---|
| Restituzione di un documento originale (es. radiografia portata dal paziente) | Restituire l’oggetto fisico originale. | Diritto di proprietà (Art. 832 Codice Civile). |
| Richiesta di accesso alla cartella clinica | Fornire una copia completa e leggibile (fotocopia, stampa, PDF). Conservare l’originale. | Diritto di accesso (Art. 15 GDPR). Obbligo di conservazione della cartella (Art. 2220 c.c.). |
Procedure e Accortezze Pratiche
Tracciare tutto: Farsi firmare una ricevuta al momento della riconsegna di un documento originale (es.: “Il sottoscritto [Nome Paziente] dichiara di aver ricevuto in data [data] la lastra radiografica originale concernente [prestazione]”). Questo evita contestazioni future.
Tempi di Risposta: La copia della documentazione sanitaria deve essere fornita senza ingiustificato ritardo e comunque entro 30 giorni dalla richiesta (Art. 12 GDPR).
Costi: La prima copia è gratuita. Il medico può chiedere un rimborso spese per copie aggiuntive o richieste abusive, ma solo se il costo è ragionevole e comunicato in anticipo.
Dati di Terzi: Se la cartella contiene informazioni confidenziali su altri individui (es. anamnesi familiare che cita altri parenti), il medico ha l’obbligo di oscurare (anonimizzare) quelle informazioni prima di consegnare la copia al paziente richiedente.
In conclusione, il paziente rientra in possesso dei suoi beni materiali originali, mentre esercita il diritto di accesso ai dati ottenendone una copia, lasciando l’originale della cartella nelle mani del professionista per obblighi legali e deontologici.
Procedura per la Consegna di Documentazione Sanitaria da parte del Personale di Segreteria
1. Delegabilità dell’Attività
Sì, il personale di segreteria può materialmente consegnare i documenti al paziente o a un suo delegato.
Condizione essenziale: Devono aver ricevuto istruzioni scritte chiare e formazione specifica (Art. 29 GDPR e Art. 2-quaterdecies del Codice Privacy) su come gestire le richieste di accesso e le consegne, per conto del medico (titolare del trattamento).
2. Obbligo di Confezione in Busta Chiusa
Obbligatorio. La documentazione sanitaria deve sempre essere inserita in una busta opaca e sigillata.
Finalità:
Garantire la riservatezza dei dati sensibili (Art. 5.1.f GDPR: “integrità e riservatezza”).
Prevenire la conoscenza accidentale dei dati da parte di terzi (membri della famiglia, altri pazienti in sala d’attesa).
3. Identificazione del Ritirante e Gestione della Delega
Scenario 1: Ritiro da parte del diretto interessato
Obbligo: Il personale deve verificare l’identità del paziente (es. documento d’identità).
Prova: Farsi firmare una ricevuta di consegna per tracciare l’avvenuta riconsegna.
Scenario 2: Ritiro da parte di un delegato
Obbligo 1: Acquisire una delega specifica, scritta e firmata dal paziente. La delega deve contenere:
Nome e dati del delegante (paziente).
Nome e dati del delegato (persona incaricata di ritirare).
Specifica di ciò che viene ritirato (es. “referto della risonanza magnetica del…”).
Data e firma autografa del paziente.
Obbligo 2: Verificare l’identità del delegato (es. documento d’identità).
Obbligo 3: Conservare la delega (o una sua copia) insieme alla ricevuta di consegna.
Riferimenti Normativi e Sanzioni
Base Giuridica: Questa procedura dà esecuzione concreta al principio di “integrità e riservatezza” (Art. 5.1.f GDPR) e all’obbligo di attuare misure tecniche e organizzative adeguate a proteggere i dati (Art. 32 GDPR).
Sanzioni: La consegna di documenti sanitari a un delegato senza un mandato valido, o senza aver verificato le identità, costituisce una violazione del GDPR (mancata protezione dei dati) e può portare a sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato globale (Art. 83.4 GDPR).
Best Practice Aggiuntive
Registro delle Consegne: Tenere un registro protetto dove annotare ogni consegna (data, documento consegnato, identificativo del ritirante, numero del documento d’identità presentato).
Formazione del Personale: Formare periodicamente il personale di segreteria su queste procedure e sulla loro importanza.
Consegna a Distanza: Per l’invio via posta/corriere, utilizzare sempre raccomandata con avviso di ricevimento. Per l’invio via PEC, assicurarsi che l’indirizzo sia quello corretto e che il contenuto della mail non esponga i dati sensibili nell’oggetto o nel testo.
In sintesi, è obbligo giuridico per garantire che l’esercizio del diritto di accesso da parte del paziente avvenga in modo sicuro, tutelando la riservatezza delle informazioni sanitarie.
Procedura di Sicurezza per la Consegna di Documenti Sanitari
1. Custodia e Accesso Fisico ai Documenti
Ubicazione: Le buste contenenti la documentazione sanitaria devono essere conservate in un armadio/schedario blindato o in un’area ad accesso riservato (es. ufficio della segreteria), mai in sala d’attesa o in luoghi accessibili al pubblico.
Accesso: Solo il personale autorizzato può avere accesso a questo armadio.
2. Procedura di Consegna (mediata dal personale)
Identificazione: Il paziente o il delegato si rivolge al personale di segreteria.
Verifica:
Se è il paziente, ne viene verificata l’identità con un documento.
Se è un delegato, viene richiesta e controllata la delega specifica, scritta e firmata dal paziente, oltre all’identità del delegato.
Recupero: Il personale recupera la busta dall’area protetta.
Registrazione: Si annota l’avvenuta consegna su un registro (con data, nome di chi ritira, tipo di documento, numero del documento d’identità presentato).
Perché questa procedura è obbligatoria?
Principio di Integrità e Riservatezza (Art. 5.1.f GDPR): Impone di proteggere i dati da accessi non autorizzati. Un documento lasciato incustodito viola questo principio.
Misure di Sicurezza (Art. 32 GDPR): Il titolare del trattamento (il medico) deve attuare misure tecniche e organizzative adeguate per proteggere il trattamento. La custodia in area riservata e la procedura di consegna controllata sono misure organizzative essenziali.
Prevenzione di Violazioni: Evita che:
Un paziente ritiri per errore la documentazione di un altro.
Un accompagnatore curioso apra una busta non sua.
Persone non autorizzate accedano a dati sensibili per furto o curiosità.
Casi Pratici e Gestione del Rischio
Scenario a Rischio Procedura Corretta Conseguenza della Negligenza Marito in sala d’attesa ritira la busta della moglie. Non conseg nare senza delega specifica della moglie. Violazione grave del GDPR e del segreto professionale. Paziente ritira per sbaglio la busta di un omonimo. Verifica accurata dell’identità (data di nascita, indirizzo), non solo il nome. Illegittima comunicazione di dati a terzi. Il corriere lascia i plichi con i referti sul bancone. I plichi devono essere sempre ritirati e custoditi dal personale. Accesso indiscriminato a dati sensibili. La consegna non può essere un semplice “fai da te”. Deve essere un processo controllato e tracciato, mediato da personale formato, che agisce da garante dell’identità del destinatario e della riservatezza dei dati, attuando concretamente i principi del GDPR.
Conservazione della Cartella Clinica: Termini e Obblighi
1. Decorrenza del Termine di Conservazione
Regola Generale: Il termine di 10 anni per la conservazione della cartella clinica decorre dalla data dell’ultimo atto (visita, consulto, trattamento) che conclude il rapporto di cura.
Cessazione dell’attività: Se un medico cessa l’attività (es. per pensionamento), deve comunque garantire la conservazione delle cartelle per il periodo residuo dei 10 anni a partire dall’ultima prestazione di ogni singolo paziente.
2. Base Normativa di Riferimento
Art. 2220 del Codice Civile (“Doveri del professionista”): Impone al professionista (quindi anche al medico) di conservare i documenti della propria attività per 10 anni.
Codice di Deontologia Medica (Art. 25): Ribadisce l’obbligo di tenere la cartella clinica e di conservarla per 10 anni, sottolineandone il valore anche ai fini difensivi.
GDPR (Principio di Limitazione della Conservazione, Art. 5.1.e): I dati devono essere conservati non più a lungo del necessario. I 10 anni sono considerati il termine proporzionato per finalità di cura, difesa legale e adempimenti amministrativi.
3. Cosa Succede alla Scadenza dei 10 Anni?
Alla scadenza del termine, il medico (o i suoi eredi) deve:
Provvedere alla Distruzione dei documenti in modo sicuro (es. distruzione certificata per le cartelle cartacee, cancellazione sicura per quelle digitali).
Documentare le operazioni di distruzione (è buona prassi tenere un registro).
4. Eccezioni e Casi Particolari
Pazienti Minori: Il termine di 10 anni decorre dalla data del compimento del 18° anno di età (quindi la cartella va conservata fino al compimento dei 28 anni del paziente). Questo per tutelare il diritto del diventato maggiorenne a conoscere la propria storia clinica e per prescrizione di eventuali azioni legali.
Contenziosi in Corso o Prevedibili: Se è in corso una controversia (es. una causa per malpractice), la cartella deve essere conservata fino alla definizione completa della controversia (sentenza passata in giudicato), anche se questo supera i 10 anni.
Dati in Formato Elettronico: Gli stessi termini si applicano. Il medico deve garantire la leggibilità dei dati per l’intero periodo (es. aggiornando i formati o preservando i software necessari).
Sintesi delle Scadenze
| Scenario | Termine di Conservazione | Decorrenza |
|---|---|---|
| Paziente adulto | 10 anni | Dall’ultimo atto medico |
| Paziente minore | Fino al 28° anno di età | Dalla data di nascita |
| Cessazione attività | 10 anni (per ogni cartella) | Dall’ultimo atto medico per ogni paziente |
| Contenzioso in corso | Fine della controversia + 1 anno | Oltre il termine ordinario |
Adempimenti Pratici per il Medico
Pianificazione: Tenere un registro o un calendario delle scadenze per le cartelle (es. archivio ordinato per anno di ultima visita).
Cessazione Attività: In caso di chiusura dello studio, pianificare un piano di conservazione (es. affidamento a altro collega, archiviazione con professionista) per il periodo residuo.
Distruzione Sicura: Non gettare mai le cartelle cliniche nei rifiuti ordinari. Utilizzare servizi di shredding certificato per la carta e formattazione/cancellazione sicura per i supporti digitali.
In conclusione, La cessazione del rapporto di cura è l’evento che fa partire il “timer” dei 10 anni, e la cessazione dell’attività professionale non assolve il medico da questo obbligo, che deve essere adempiuto per ogni singola cartella clinica fino alla scadenza del proprio termine individuale.
Informativa sul Trattamento dei Dati Personali del Paziente: Guida Chiara e Conforme al GDPR
L’informativa sul trattamento dei dati personali del paziente è un documento obbligatorio (ex Art. 13-14 GDPR e Art. 12 Codice Privacy) che il medico, o la struttura sanitaria, deve fornire al paziente per garantire trasparenza, correttezza e consenso informato sul uso dei suoi dati. Ecco cosa include e perché è fondamentale:
Cosa deve contenere l’informativa
Finalità del trattamento:
Perché i dati sono raccolti (es. diagnosi, terapia, prevenzione, ricerca scientifica).
Base giuridica del trattamento (es. esecuzione di un contratto, obblighi di legge, consenso esplicito per dati sensibili).
Tipologie di dati raccolti:
Dati sanitari (storia clinica, esami, terapie).
Dati anagrafici, contatti, eventuali dati genetici o biometrici.
Soggetti che accedono ai dati:
Titolare del trattamento: Il medico o la struttura sanitaria.
Responsabili esterni: Laboratori analisi, specialisti coinvolti, assicurazioni (solo se necessario).
Autorità pubbliche: Segnalazioni obbligatorie (es. malattie infettive).
Diritti del paziente:
Accesso, rettifica, cancellazione (diritto all’oblio), portabilità dei dati.
Opposizione al trattamento (es. per finalità di marketing).
Revoca del consenso, se previsto come base giuridica.
Conservazione dei dati:
Periodo di retention (es. 10 anni per obblighi legali, a meno che non sussistano esigenze cliniche).
Sicurezza e trasferimenti:
Misure di protezione adottate (es. cartelle cliniche cifrate).
Eventuali trasferimenti extra-UE (solo a Paesi con adeguato livello di protezione o garanzie specifiche).
Perché è obbligatoria?
GDPR e Codice Privacy: Il paziente deve essere informato in modo chiaro e accessibile prima della raccolta dei dati (Art. 13 GDPR).
Consenso informato: Senza un’informativa adeguata, il consenso del paziente non è valido, specie per dati sensibili (Art. 9 GDPR).
Protezione della relazione di fiducia: Evita contenziosi legali e rafforza la trasparenza medico-paziente.
Come va consegnata?
Forma scritta: Cartacea o digitale (es. email, portale dedicato).
Linguaggio semplice: Comprensibile anche a non esperti, evitando tecnicismi.
Tempistica: Prima del primo trattamento (es. durante la prima visita).
Esempio pratico di informativa
“Il Dr. Rossi, titolare del trattamento, raccoglie i Suoi dati sanitari per garantire una diagnosi accurata e un piano terapeutico personalizzato. I dati potranno essere condivisi con il laboratorio analisi XY e il cardiologo referente. Potrà accedere ai Suoi dati o chiederne la correzione contattando lo studio via email. I dati saranno conservati per 15 anni, come previsto dalla legge, e protetti con sistemi crittografici.”
Cosa succede se manca l’informativa?
Sanzioni GDPR: Multe fino a €20 milioni o il 4% del fatturato globale.
Risarcimento danni: Il paziente può richiedere un indennizzo per violazione della privacy.
Invalidità del consenso: Trattamenti successivi (es. terapie) potrebbero essere considerati illeciti.
👉 Consiglio operativo: Usa template pre approvati da un legale specializzato in privacy sanitaria e aggiornali regolarmente (es. cambiamenti nelle normative o nelle tecnologie usate).
Fonti normative:
Art. 13-14 GDPR (obbligo di informativa).
Linee guida del Garante Privacy sul trattamento dei dati sanitari (2023).
Codice di Deontologia Medica (Art. 14: segreto professionale e tutela dati).
Consenso al Trattamento dei Dati del Paziente: Obblighi del Medico dopo l’Informativa
Una volta fornita l’informativa, il medico deve ottenere il consenso esplicito del paziente al trattamento dei dati personali, specialmente se sensibili (come quelli sanitari). Ecco le regole da seguire per una procedura a norma GDPR e Codice Privacy:
Step 1: Raccolta del Consenso
Forma consentita:
Orale: Valido legalmente (Art. 7 GDPR), ma sconsigliato per mancanza di prova documentale.
Scritto: Opzione preferibile (firma su modulo cartaceo o digitale) per dimostrare l’avvenuta acquisizione.
Contenuto minimo:
Riferimento all’informativa ricevuta.
Specifica delle finalità (es. diagnosi, terapie, condivisione con altri specialisti).
Menzione del diritto di revocare il consenso in qualsiasi momento.
Step 2: Documentazione del Consenso
Modulo dedicato:
Deve includere:
Nome e dati del medico/titolare.
Dichiarazione chiara: “Dichiaro di aver ricevuto l’informativa e di acconsentire al trattamento dei miei dati per le finalità indicate”.
Spazio per firma e data.
Esempio pratico:
*”☑ Acconsento al trattamento dei miei dati sanitari per finalità diagnostiche e terapeutiche, come descritto nell’informativa del 01/01/2024.
Firma ________________________ , Data ________”*
Consenso digitale:
Valido se ottenuto tramite sistemi certificati (es. firma elettronica, click su piattaforma protetta con tracciabilità).
Eccezioni: Casi in cui il Consenso NON è Richiesto
Obblighi di legge:
Trattamento necessario per adempiere obblighi sanitari pubblici (es. segnalazione di malattie infettive).
Emergenze vitali:
Impossibilità fisica o mentale del paziente di esprimere consenso, purché il trattamento sia indispensabile per salvaguardarne la vita.
Terapie obbligatorie:
Es. cure imposte da autorità giudiziaria (Art. 9.2 GDPR).
Perché preferire il consenso scritto?
Prova legale: In caso di contestazioni (es. violazione della privacy), il modulo scritto è un elemento decisivo per difendersi.
Chiarezza: Riduce il rischio di equivoci sul cosa il paziente abbia autorizzato.
Conformità alle Linee Guida Garante Privacy: Il Provvedimento del 2021 raccomanda la forma scritta per dati sanitari, data la loro sensibilità.
Cosa succede se il consenso è mancante o invalido?
Illegittimità del trattamento: Anche se il medico agisce in buona fede, l’uso dei dati diventa illecito (Art. 6 GDPR).
Sanzioni:
Multe fino a €20 milioni o 4% del fatturato globale (GDPR).
Responsabilità disciplinare (Ordine dei Medici) per violazione del segreto professionale.
Risarcimento danni: Il paziente può chiedere un indennizzo per violazione della privacy.
Consigli Operativi per Medici e Strutture
Utilizza moduli precompilati approvati da un legale esperto in privacy sanitaria.
Archivia i consensi in modo sicuro e organizzato (es. cartella clinica digitale con accesso protetto).
Aggiorna regolarmente i documenti in caso di cambiamenti nelle finalità del trattamento.
Forma il personale: Assicurati che collaboratori e segretari conoscano le procedure corrette.
👉 Esempio di Buona Pratica:
Prima di una visita specialistica, il paziente riceve via email l’informativa e un modulo di consenso digitale. Firma elettronicamente, e il sistema registra automaticamente data/ora. Il medico conserva il documento nel database cifrato dello studio.
Riferimenti normativi:
Art. 7 e 9 GDPR (consenso per dati sensibili).
Linee Guida Garante Privacy n. 65/2022 su trattamento dati sanitari.
Codice di Deontologia Medica (Art. 14: obbligo di riservatezza).
Chi può esprimere il consenso al trattamento dei dati sanitari? Linee guida GDPR e Normativa Italiana
Il consenso al trattamento dei dati sanitari è regolato dal GDPR (Art. 4, 7, 8) e dal Codice Privacy (Art. 23, 24), con specifiche disposizioni per minori e soggetti incapaci. Ecco una sintesi chiara:
1. Paziente maggiorenne e capace
Unico titolare del consenso:
Solo il paziente adulto, con piena capacità di intendere e volere, può autorizzare il trattamento dei propri dati sanitari.
Esempio: Un paziente di 30 anni che firma il consenso per una terapia oncologica.
2. Minori (under 14) o incapaci
Consenso esercitato da terzi:
Minori sotto i 14 anni: Il consenso è espresso dai genitori (anche separati o non coniugati) o da chi esercita la potestà genitoriale. Non è necessaria l’unanimità: un genitore può agire disgiuntamente (Art. 316 Codice Civile).
Esempio: Un bambino di 10 anni riceve un vaccino: la madre (separata dal padre) firma il consenso.
Minori tra 14 e 18 anni: In Italia, per il trattamento dati in servizi digitali, il consenso può essere espresso direttamente dal minore dai 14 anni (Art. 2-quinquies Codice Privacy). Tuttavia, per atti medici complessi (es. interventi chirurgici), rimane necessaria l’autorizzazione genitoriale.
Adulti incapaci (interdetti/inabilitati): Il consenso è dato dal tutore o amministratore di sostegno, nominato dal tribunale (Art. 427 Codice Civile).
3. Casi particolari
Pazienti parzialmente capaci (es. disagio mentale temporaneo):
Valutare la capacità residua di comprendere il trattamento. Se insufficiente, coinvolgere il tutore/legale rappresentante.
Emergenze vitali (paziente incosciente o in pericolo di vita):
Il trattamento è lecito senza consenso se finalizzato a salvare la vita (Art. 9.2.c GDPR).
Esempio: Intervento d’urgenza su un paziente privo di sensi dopo un incidente.
4. Documentazione del consenso
Obbligo di prova:
Il medico deve conservare la prova del consenso (modulo scritto, registrazione audio/video in casi eccezionali).
Se il consenso è dato da un tutore, allegare documentazione giudiziale (es. decreto di nomina del tutore).
Consenso per atti specifici:
Ogni intervento sanitario rilevante (es. chirurgia, terapie invasive) richiede un consenso distinto e informato.
Rischi in caso di consenso non valido
Nullità del trattamento: I dati sanitari raccolti senza consenso legittimo non possono essere utilizzati, salvo casi di emergenza.
Sanzioni GDPR: Fino a €20 milioni o 4% del fatturato globale.
Responsabilità civile e penale: Risarcimento danni al paziente o ai familiari; sanzioni per violazione del segreto professionale (Art. 622 Codice Penale).
Esempi pratici
✅ Consenso valido:
Un tutore legale firma il modulo per la chemioterapia di un paziente affetto da Alzheimer, presentando il decreto di tutela.
❌ Consenso invalido:
Un medico opera un minore di 13 anni basandosi sul consenso orale della sorella maggiorenne, senza coinvolgere i genitori.
Linee guida per i medici
Verifica dell’identità:
Accertati che chi firma il consenso sia effettivamente il genitore/tutore (es. documento d’identità).
Formazione continua:
Aggiornati sulle sentenze del Garante Privacy (es. Provvedimento n. 123/2023 su minori e dati sanitari).
Template preapprovati:
Utilizza moduli di consenso differenziati per:
Maggiorenni capaci.
Minori (con sezione dedicata ai genitori).
Incapaci (con riferimento al tutore).
👉 Fonti normative:
Art. 8 GDPR (consenso per minori).
Art. 12 Codice Privacy (disposizioni specifiche per l’Italia).
Linee Guida Garante Privacy del 2021 su trattamento dati sanitari e tutela dei vulnerabili.
Una gestione corretta del consenso protegge il paziente, il medico e la struttura sanitaria da rischi legali e promuove un rapporto di fiducia basato sulla trasparenza.
Ecco una checklist completa degli adempimenti GDPR per un medico (o uno studio medico) dopo aver fornito l’informativa e ottenuto il consenso:
📋 Obblighi del Medico/Titolare del Trattamento
Nomina del personale come Incaricati del trattamento
Lettera di incarico formale (Art. 29 GDPR) per:
▪ Segreteria
▪ Collaboratori (es. infermieri, sostituti)
▪ Fornitori esterni (es. chi gestisce il software gestionale)Contenuto minimo:
▪ Elenco dei dati accessibili
▪ Istruzioni per il trattamento (es. “non condividere cartelle con estranei”)
▪ Obbligo di riservatezza
Registro dei trattamenti (Art. 30 GDPR)
Documentare:
▪ Categorie di dati sanitari trattati
▪ Finalità (es. diagnosi, fatturazione)
▪ Destinatari (es. ASL, laboratori analisi)
▪ Misure di sicurezza (es. archiviazione protetta)
Misure di sicurezza tecniche e organizzative (Art. 32 GDPR)
Accesso fisico:
▪ Cartelle cliniche in armadi blindati
▪ PC con autenticazione forte (password + PIN)Accesso digitale:
▪ Software medicali con crittografia
▪ Backup cifratiFormazione del personale su:
▪ Privacy by default (es. non lasciare schermi sbloccati)
▪ Gestione data breach
Valutazione d’impatto (DPIA) se necessario (Art. 35 GDPR)
Obbligatoria per:
▪ Trattamenti ad alto rischio (es. database centralizzati di pazienti)
▪ Uso di sistemi cloud per dati sanitari
Gestione delle violazioni (Data breach)
Notifica al Garante Privacy entro 72 ore se la violazione comporta rischi per i diritti dei pazienti (Art. 33).
Aggiornamento dell’informativa
Se cambiano finalità (es. nuovi esami diagnostici offerti) → richiedere un nuovo consenso.
📌 Attenzione a Questi Aspetti
Consenso specifico per dati sanitari (Art. 9 GDPR):
Non basta un generico “accetto”, serve esplicitare:
▪ Quali dati sono trattati (es. referti, diagnosi)
▪ Chi può accedervi (es. specialisti consulenti).
Comunicazioni a terzi (es. invio referti via email):
Usare canali sicuri (es. PEC, piattaforme certificate).
⚖️ Sanzioni per Omissioni
Mancata nomina incaricati: Fino a 10 milioni di € o 2% del fatturato.
Violazione dati sanitari: Fino a 20 milioni di € o 4% del fatturato.
Esempio Pratico: Lettera di Incarico alla Segreteria
*”Il/la sottoscritto/a [Nome], in qualità di Titolare del trattamento, incarica [Nome segretaria] di trattare i dati sanitari dei pazienti esclusivamente per:
Prenotazioni appuntamenti
Fatturazione elettronica
Archiviazione cartelle cliniche
con obbligo di riservatezza e rispetto delle policy interne.
Firmato: [Medico]”.*
Conclusione
Oltre a consenso e informativa, il medico deve:
Formalizzare gli incarichi
Proteggere i dati con misure concrete
Tenere traccia di ogni operazione
La compliance non è burocrazia, ma tutela per pazienti e professionisti. 🩺🔒
Riferimenti: Art. 29, 30, 32, 35 GDPR e Linee Guida Garante Privacy su dati sanitari.
Ecco una lettera di incarico per il trattamento dei dati personali per studi odontoiatrici, redatta in conformità al GDPR e alle linee guida del Garante Privacy:
LETTERA DI INCARICO PER TRATTAMENTO DATI PERSONALI
*(Art. 28 GDPR e Provv. Garante Privacy 15/12/2022)*
Studio Odontoiatrico
[Dati del Titolare del Trattamento]
• Ragione Sociale: ______
• Indirizzo: ______
• PEC: ______
• Codice Fiscale/Partita IVA: ______
Incaricato del Trattamento
[Dati del soggetto designato]
• Nome/Cognome: ______
• Ruolo (collaboratore/segretaria/assistente/consulente): ______
• Codice Fiscale: ______
OGGETTO
Nomina a Incaricato del Trattamento dei dati personali dei pazienti ai sensi dell’art. 29 GDPR.
ISTRUZIONI OPERATIVE
| Attività Autorizzate | Limiti |
|---|---|
| Archiviazione cartelle cliniche digitali | Solo su server crittografato interno |
| Prenotazione appuntamenti via software | Nessun accesso a diagnosi sensibili |
| Gestione dati anagrafici pazienti | Divieto di copia su dispositivi personali |
| Invio promemoria tramite SMS/email | Solo con consenso espresso paziente |
OBBLIGHI DELL’INCARICATO
✅ Riservatezza
• Divieto assoluto di divulgazione dati a soggetti non autorizzati
✅ Sicurezza
• Utilizzo esclusivo di dispositivi forniti dallo studio
• Blocco sessione al termine di ogni operazione
✅ Formazione
• Partecipazione obbligatoria a corsi GDPR annuali
✅ Segnalazione Violazioni
• Comunicazione immediata al Titolare di eventuali data breach
DIVIETI TASSATIVI
❌ Accesso a dati genetici/biometrici senza autorizzazione
❌ Conservazione dati cartacei in aree non blindate
❌ Trasferimento dati a terzi senza consenso scritto
❌ Utilizzo di cloud non certificati (es. Google Drive personale)
MISURE TECNICHE APPLICATE
Autenticazione a due fattori per accesso software clinico
Log di controllo con tracciamento orario/user ID
Crittografia AES-256 su database e backup
Cancellazione sicura supporti dismessi (certificato NIST 800-88)
DURATA E RISCUSSIONE
• Decorrenza: [Data]
• Revoca automatica in caso di:
Violazione GDPR accertata
Cessazione rapporto lavorativo
Mancata formazione privacy
IL TITOLARE DEL TRATTAMENTO[Firma e timbro]
[Nome/Cognome]
L’INCARICATO DEL TRATTAMENTO
Dichiaro di aver ricevuto formazione specifica sul GDPR e di accettare gli obblighi sopra indicati[Firma]
[Nome/Cognome]
Data: ______
NOTE LEGALI ESSENZIALI
Valore probatorio (Art. 2712 Codice Civile):
• La lettera sostituisce l’atto notarile se conservata con requisiti AgID.Responsabilità solidale (Art. 29 GDPR):
• In caso di violazioni, sanzioni fino a €20 milioni per Titolare e Incaricato.Formazione obbligatoria:
• Documentare gli aggiornamenti formativi nel Registro delle Attività di Trattamento.
⚠️ Riferimenti normativi:
Regolamento UE 2016/679 (Art. 28-29)
Linee Guida Garante Privacy 15/12/2022
Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018)
Nel caso in cui il trattamento dei dati personali dei pazienti avvenga in formato cartaceo, è opportuno che il medico predisponga, per ciascun assistito, una scheda sanitaria individuale. Tale scheda dovrà contenere il modulo di consenso informato debitamente sottoscritto, nonché ogni altro documento clinico e amministrativo rilevante ai fini della diagnosi, cura e gestione del rapporto terapeutico.
La conservazione di tali documenti deve avvenire nel rispetto dei principi di riservatezza, integrità e sicurezza. È pertanto necessario custodire le schede in un luogo fisicamente sicuro, non accessibile a soggetti non autorizzati. Ad esempio, qualora siano riposte in un armadio, quest’ultimo dovrà essere dotato di serratura e collocato in un locale dello studio non aperto al pubblico o al personale non autorizzato. Le chiavi dell’armadio dovranno essere detenute esclusivamente dal medico, dal suo sostituto o da collaboratori medici specificamente incaricati, e non da personale amministrativo o da terzi non autorizzati.
Inoltre, al fine di tutelare i dati anche contro eventi accidentali, è raccomandabile che l’armadio o il contenitore utilizzato sia realizzato in materiale ignifugo, così da ridurre il rischio di perdita o distruzione delle informazioni in caso di incendio.
È fondamentale ricordare che la normativa in materia di protezione dei dati personali – in particolare il Regolamento (UE) 2016/679 (GDPR) – non si limita a garantire la riservatezza delle informazioni, ma impone anche l’adozione di misure tecniche e organizzative adeguate per prevenire eventi quali incendi, furti, accessi non autorizzati, smarrimenti o deterioramenti accidentali.
In caso di violazione, sottrazione o distruzione dei dati, il medico deve essere in grado di dimostrare di aver adottato tutte le misure ragionevolmente necessarie per evitare tali eventi. Una conservazione negligente o superficiale può infatti comportare responsabilità civili e obblighi risarcitori, oltre che sanzioni amministrative da parte dell’Autorità Garante.
È fondamentale che l’informativa privacy riporti in modo chiaro e trasparente che i dati personali dei pazienti possono essere trattati non solo dal medico titolare del trattamento, ma anche dagli altri medici appartenenti alla stessa associazione professionale, medicina di gruppo o rete, esclusivamente per finalità connesse alla prevenzione, diagnosi, cura e riabilitazione del paziente, nel rispetto del principio di minimizzazione e pertinenza del trattamento.
Si ricorda, inoltre, che nel contesto della medicina di gruppo o in rete, è obbligatoria la designazione di un Responsabile della Protezione dei Dati (RPD), noto anche come Data Protection Officer (DPO), figura incaricata di vigilare sull’osservanza della normativa in materia di protezione dei dati personali, fornire consulenza e fungere da punto di contatto con il Garante per la protezione dei dati personali.
Evidentemente è così. Infatti nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.
Dipende dal tipo di richiesta formulata dal paziente. In generale, il paziente ha specifici diritti riconosciuti dal Regolamento (UE) 2016/679 (GDPR), ma il medico può opporsi solo in determinati casi, giustificati da motivi legittimi. Ecco un quadro sintetico:
✅ Richieste a cui il medico non può opporsi (obbligo di accoglimento):
Accesso ai dati personali
Il paziente ha sempre diritto a sapere quali dati personali vengono trattati, per quali finalità, e da chi.Rettifica dei dati inesatti
Se i dati clinici contengono errori, il medico deve correggerli.Limitazione del trattamento
In determinati casi (es. contestazioni sull’esattezza dei dati), il paziente può chiedere che i dati siano “congelati” (cioè conservati ma non usati).Portabilità dei dati
Il paziente ha diritto a ricevere i propri dati in formato strutturato e a trasmetterli a un altro professionista, ad esempio in caso di cambio di medico o struttura sanitaria.
❌ Richieste a cui il medico può opporsi (in tutto o in parte):
Cancellazione dei dati (diritto all’oblio)
Il medico può legittimamente rifiutare la cancellazione dei dati quando:la conservazione è necessaria per obblighi di legge (es. obblighi fiscali, sanitari, deontologici);
i dati sono necessari per finalità di diagnosi, cura o tutela legale;
sussiste un interesse pubblico (es. archiviazione sanitaria).
Opposizione al trattamento
Il paziente può opporsi, ma non può impedire il trattamento dei dati necessari per motivi medici, legali o di interesse pubblico. Il medico ha il diritto (e in alcuni casi l’obbligo) di continuare il trattamento se motivato da:necessità di cura,
obblighi normativi,
tutela della salute pubblica.
In sintesi
Il medico non può opporsi arbitrariamente ai diritti previsti dal GDPR, ma può respingere alcune richieste (come la cancellazione dei dati) quando esistono obblighi giuridici o motivi clinici che giustificano la conservazione o il trattamento.
Infatti, la facoltà di comunicare a terzi informazioni inerenti la propria salute spetta esclusivamente al paziente, in quanto titolare del diritto alla riservatezza. Il medico, in questo caso, non deve e non può esercitare alcuna forma di controllo o giudizio sulla scelta del paziente di rivelare o meno tali dati, purché la richiesta sia chiara, consapevole e volontaria.
Di conseguenza, qualora il paziente domandi una certificazione sanitaria dettagliata, il medico ha il dovere di redigerla in modo veritiero, completo e professionale, limitandosi a riportare fedelmente le informazioni sanitarie in suo possesso, utili a giustificare la richiesta del paziente, senza omissioni o giudizi personali.
Rimane inteso che il medico deve comunque:
acquisire una richiesta scritta o comunque formalizzata da parte del paziente;
garantire che il documento sia consegnato esclusivamente al diretto interessato o a persona da lui formalmente incaricata;
evitare la trasmissione diretta al datore di lavoro, salvo esplicito consenso documentato.
il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.
Il medico ha l’obbligo di conservare la documentazione sanitaria e gli atti relativi ai pazienti per tutta la durata del rapporto di cura e, successivamente, per un periodo minimo di 10 anni dalla conclusione dello stesso. Questo termine risponde a esigenze sia medico-legali (in caso di contenziosi) sia normative, tenuto conto delle disposizioni del Codice Civile e della normativa sanitaria in materia di responsabilità professionale.
Al termine del periodo di conservazione decennale, è possibile procedere alla distruzione sicura dei documenti, secondo modalità che ne garantiscano l’irrecuperabilità e la tutela della riservatezza (es. triturazione, incenerimento certificato o distruzione tramite ditte autorizzate).
Tuttavia, ove possibile, è preferibile offrire ai pazienti la possibilità di ritirare la propria documentazione sanitaria prima della distruzione, informandoli preventivamente in modo adeguato. Questo approccio, oltre a essere rispettoso dei diritti dell’interessato, può evitare future contestazioni.
È importante ricordare che la distruzione anticipata dei dati o la loro conservazione oltre i limiti stabiliti senza giustificazione possono costituire violazioni del Regolamento (UE) 2016/679 (GDPR) o essere oggetto di sanzioni da parte dell’Autorità Garante.
Adempimenti Essenziali per il Medico (Titolare del Trattamento)
Informativa Privacy e Consenso
Cosa fare: Fornire un’informativa chiara e specifica (Art. 13 GDPR) prima della raccolta dati, con:
Finalità del trattamento (diagnosi, terapie, fatturazione)
Base giuridica (consenso, obbligo legale, interesse vitale)
Diritti dell’interessato (accesso, cancellazione, opposizione)
Consenso:
Esplicito e scritto per dati sensibili (salute, Art. 9 GDPR)
Distinto per attività diverse (es. marketing)
Esempio pratico: Modulo di consenso separato per l’uso dei dati in studi clinici.
Registro delle Attività di Trattamento (Art. 30 GDPR)
Obbligo di tenere un registro aggiornato con:
Categorie di dati trattati (anamnesi, referti, etc.)
Destinatari (laboratori, altri specialisti)
Misure di sicurezza adottate
Sanzione mancata tenuta: Fino a 10 milioni di € o 2% del fatturato globale.
Valutazione d’Impatto (DPIA) per trattamenti a rischio
Obbligatoria per:
Dati genetici o biometrici
Monitoraggio su larga scala (es. database pazienti cronici)
Trattamenti con algoritmi predittivi
Nomina di Ruoli Chiave
Responsabile della Protezione Dati (DPO): Obbligatorio se:
Si trattano dati sensibili su larga scala (es. ospedali, cliniche)
Si effettua monitoraggio sistematico (Art. 37 GDPR)
Responsabili Esterni: Accordi scritti con laboratori, cloud provider (Art. 28 GDPR).
Misure di Sicurezza (Art. 32 GDPR)
Fisiche: Cartelle cliniche in armadi blindati, accessi riservati
Digitali:
Crittografia di dispositivi e archivi elettronici
Autenticazione a due fattori per accesso ai sistemi
Backup giornalieri
Caso emblematico: Multa di 500.000 € a una ASL per furto di PC non cifrato con dati sanitari.
Accortezze Operative Fondamentali
Consenso in Emergenza (Art. 9.2.c GDPR):
Se il paziente è incosciente, si può trattare i dati senza consenso per salvaguardarne la vita.Comunicazione a Terzi:
Inviare referti a altri medici solo con autorizzazione esplicita del paziente (salvo casi di urgenza).Conservazione:
Eliminare i dati dopo 10 anni (termine ordinario per documentazione sanitaria, Art. 2220 c.c.), salvo eccezioni (es. minori: fino a 28 anni).
Errori Comuni e Sanzioni
| Violazione | Esempio | Sanzione GDPR |
|---|---|---|
| Informativa incompleta | Omessa indicazione dei diritti | Fino a 20 milioni di € |
| Trattamento senza base giuridica | Marketing senza consenso | 4% fatturato |
| Sicurezza inadeguata | Password condivise tra staff | Fino a 10 milioni di € |
Modello Operativo Consigliato
Fase 1 (Accoglienza paziente):
Consegnare e spiegare l’informativa
Raccogliere consenso scritto per dati sanitari
Fase 2 (Trattamento):
Archiviare cartelle in aree protette
Limitare gli accessi allo staff necessario
Fase 3 (Comunicazioni):
Verificare l’autorizzazione prima di inviare dati ad altri professionisti
Fonti normative:
GDPR: Art. 6 (Basi giuridiche), Art. 9 (Dati sensibili), Art. 30 (Registro attività)
Codice Deontologico Medici (FNOMCeO): Art. 24 (Segretezza)
DLgs 196/2003 (Codice Privacy): Conservazione documentale
Implementare questi adempimenti non è solo un obbligo legale, ma un elemento di trasparenza e fiducia nella relazione medico-paziente.
Consenso al trattamento dati sanitari: durata, limiti e obblighi specifici
Elementi corretti nella premessa:
Elementi corretti nella premessa:Raccolta iniziale
Il consenso deve essere ottenuto all’inizio del rapporto di cura (Art. 13 GDPR), contestualmente alla prima raccolta di dati.Consenso per finalità ulteriori
Qualsiasi uso dei dati diverso dalle finalità originarie (es. ricerca scientifica, marketing) richiede:Nuova informativa specifica
Consenso aggiuntivo ed espresso (Art. 7 GDPR).
Elementi da rettificare e approfondire:
Elementi da rettificare e approfondire:“Vale a tempo indeterminato”? No, con importanti eccezioni
Il consenso non è “valido una volta per tutte” anche per le finalità originarie. Deve essere:Liberamente revocabile in qualsiasi momento (Art. 7.3 GDPR)
Periodicamente riconfermato per trattamenti continuativi (Linee Guida EDPB 05/2020)
Aggiornato se cambiano le modalità di trattamento (es. introduzione di nuove tecnologie).
Basi giuridiche alternative al consenso
Per le cure mediche, il consenso non è l’unica base giuridica possibile:Interesse vitale (paziente incapace, Art. 9.2.c GDPR)
Obblighi legali (conservazione cartelle, refertazione obbligatoria)
Interesse pubblico (es. epidemiologia, Art. 9.2.i GDPR).
Casi in cui il consenso iniziale NON è sufficiente
| Scenario | Obbligo aggiuntivo | Base normativa |
|---|---|---|
| Trasmissione dati a altro specialista | Nuovo consenso specifico | Art. 6.1.a GDPR |
| Utilizzo per pubblicazioni scientifiche | Consenso scritto + eventuale parere comitato etico | Art. 89 GDPR |
| Conservazione oltre i termini legali | Valutazione proporzionalità + consenso esplicito | Art. 5.1.e GDPR |
| Implementazione di sistemi di IA diagnostica | Informativa aggiornata + consenso | Considerando 71 GDPR |
Esempio pratico: gestione del consenso
Sanzioni per gestione errata del consenso
Utilizzo dati senza consenso per finalità secondarie: Fino al 4% del fatturato (Art. 83.5 GDPR)
Mancata revoca del consenso: Fino a 20 milioni di € (Art. 83.6 GDPR)
Consenso “forzato” (es. condizionare le cure al consenso per ricerca): Illecito deontologico + sanzione GDPR (Art. 7.4).
Best practice per medici
Doppio sistema di archiviazione:
Separare i consensi per finalità terapeutiche da quelli per ricerca/marketing.
Registro delle revoche:
Tenere traccia delle ritrattazioni (analogo al registro consensi).
Verifica periodica:
Rinnovare i consensi ogni 24 mesi per trattamenti continuativi.
Consenso dinamico (ricerca):
Fornire aggiornamenti sulle nuove finalità durante lo studio.
Fonte: Parere 3/2019 del Comitato Europeo per la Protezione Dati (EDPB) sul consenso per ricerca scientifica.
In sintesi: Il consenso iniziale non è un “libera tutti” perpetuo. Pur rimanendo valido per le finalità originarie, è soggetto a revoca, necessita di integrazioni per nuovi scopi, e deve coesistere con altre basi giuridiche obbligatorie per l’attività medica.
Tutela della Privacy dopo il Decesso (Art. 2-terdecies D.Lgs. 196/2003)
1. Dovere di Riservatezza del Medico
Il medico non è esentato dal dovere di riservatezza (segreto professionale) a seguito del decesso del paziente.
Questo dovere persiste per proteggere la memoria del defunto e la fiducia nella professione medica.
2. Diritti degli Eredi (Art. 2-terdecies, comma 2)
Gli eredi (o altri aventi causa) subentrano nei diritti dell’interessato defunto.
Hanno quindi diritto di:
Accesso alla documentazione sanitaria.
Rettifica o integrazione di dati inesatti.
Cancellazione dei dati, se non sussistono obblighi legali di conservazione.
3. Limiti ai Diritti degli Eredi
I diritti degli eredi non sono assoluti. Il medico può (e deve) opporre un rifiuto se:
La comunicazione dei dati rechi pregiudizio alla dignità del defunto o dei suoi congiunti.
Il defunto ha espressamente vietato la comunicazione in vita (es. attraverso una disposizione scritta o le Dat).
Le informazioni contenute nella cartella sono note confidenziali del medico (osservazioni personali non condivise col paziente).
Casi Pratici e Linee Guida Operative
| Scenario | Azione del Medico | Base Giuridica |
|---|---|---|
| Erede chiede una copia della cartella clinica completa per una pratica successoria. | Consegnare una copia integrale, salvo eccezioni di cui sopra. | Art. 2-terdecies, comma 2, D.Lgs. 196/2003 |
| La cartella contiene diagnosi o annotazioni che potrebbero ledere gravemente la memoria del defunto (es. malattie stigmatizzanti, HIV). | Valutare caso per caso. Può essere legittimo oscurare le informazioni più sensibili, fornendo solo i dati strettamente necessari alla richiesta. | Art. 2-terdecies, comma 1 (tutela interessi del defunto) + Codice Deontologico Medici |
| L’erede chiede specificamente “tutte le informazioni sulla malattia mentale” del defunto. | Valutare la pertinenza della richiesta. In assenza di un interesse legittimo e prevalente, potersi opporre per tutelare la dignità del defunto. | Art. 2-terdecies, comma 1 |
| Il defunto aveva espresso volontà contraria alla divulgazione della sua storia clinica. | Rispettare la volontà del defunto e rifiutare la consegna agli eredi. | Art. 2-terdecies, comma 2 (“salvo che il interessato abbia espresso volontà contraria”) |
Procedura Consigliata per il Medico
Verifica della Qualità di Erede: Richiedere documentazione che comprovi la legittimazione a succedere (es. certificato di morte, dichiarazione di erede o testamento).
Analisi della Documentazione: Esaminare la cartella clinica per identificare eventuali informazioni la cui divulgazione potrebbe ledere la dignità del defunto.
Bilanciamento degli Interessi: Soppesare l’interesse legittimo dell’erede ad accedere ai dati (es. per cause legali, successioni) con il diritto alla riservatezza del defunto.
Documentazione del Processo: Registrare le motivazioni di un eventuale diniego parziale o totale, per dimostrare la correttezza della valutazione in caso di contestazioni.
Forma della Comunicazione: Fornire i dati in forma chiara e comprensibile, eventualmente offrendo un colloquio per chiarire il contenuto della documentazione.
In sintesi, il medico deve agire come un “custode equilibrato” della memoria del paziente: da un lato, riconoscendo i legittimi diritti degli eredi, dall’altro, opponendosi a richieste che violerebbero la riservatezza e la dignità della persona scomparsa, in un delicato bilanciamento di interessi protetto dalla legge.