Dati dei pazienti e GDPR: l’informativa privacy che ti tutela e l’iter del data breach

Molti professionisti sanitari gestiscono i dati dei pazienti sul proprio computer: fogli Excel, cartelle sul desktop, referti su WhatsApp. È comodo. Ma i dati sanitari sono tra i più protetti dalla legge, e due cose vanno chiare: l’informativa privacy è obbligatoria e ti tutela, e se quel computer viene rubato o violato hai un data breach, con un iter preciso da seguire. La buona notizia: con le tecnologie di oggi una violazione è un rischio sempre più comune — ma se sei a norma e la gestisci correttamente non è una condanna. Vediamo cosa prevede la normativa, con i riferimenti puntuali.

I dati sanitari sono dati "speciali"

I dati relativi alla salute appartengono alle categorie particolari di dati ai sensi dell’art. 9 del GDPR (Reg. UE 2016/679): hanno una protezione rafforzata perché una loro violazione può causare danni gravi alla persona. La cornice di riferimento è il GDPR, il Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) e i provvedimenti del Garante per la protezione dei dati personali.

In breve: i dati dei pazienti non sono dati "qualsiasi". Sono categorie particolari (art. 9 GDPR): più tutele per te da rispettare, sanzioni più alte se sbagli.

Informativa ≠ consenso: cosa è davvero obbligatorio

Qui si annida la confusione più diffusa. Con il Provvedimento del Garante n. 55 del 7 marzo 2019, è stato chiarito che il professionista sanitario, tenuto al segreto professionale, non deve chiedere il consenso per i trattamenti necessari alla cura del paziente: la base giuridica è l’art. 9, par. 2, lett. h) GDPR (finalità di cura).

Attenzione però: questo non ti esonera dall’informativa privacy. Gli artt. 13 e 14 del GDPR impongono di informare sempre il paziente — in modo chiaro e completo — su quali dati tratti, per quali finalità, con quali modalità, per quanto tempo li conservi e quali sono i suoi diritti. L’informativa va fornita al primo contatto.

Il consenso resta invece necessario per i trattamenti ulteriori, non necessari alla cura: comunicazioni promozionali e marketing, promemoria via SMS/WhatsApp, eventuale consultazione del Fascicolo Sanitario Elettronico, uso di foto, ecc.

In breve: per curare il paziente non ti serve il suo consenso, ma l’informativa privacy sì, sempre. Il consenso serve solo per ciò che va oltre la cura (promemoria, marketing, FSE…).

Perché far firmare l’informativa ti tutela

Fornire l’informativa è un obbligo; farne firmare la presa visione (e raccogliere i consensi facoltativi) è ciò che ti dà la prova di esserti messo in regola. È il principio di responsabilizzazione (accountability) dell’art. 5, par. 2, GDPR: non basta essere conformi, devi poterlo dimostrare. Se un domani il paziente contesta "non sono mai stato informato", senza un documento firmato e datato sei in difficoltà; con la prova della consegna, no.

In breve: l’informativa firmata non è burocrazia: è la tua assicurazione. È la prova, davanti al Garante o a un giudice, che hai informato il paziente come la legge richiede.

Data breach: cosa succede se il computer viene rubato o hackerato

Un data breach (art. 4, n. 12, GDPR) è una violazione di sicurezza che comporta — anche in modo accidentale — distruzione, perdita, accesso non autorizzato o divulgazione di dati personali. Un portatile rubato o smarrito, un ransomware che cifra i tuoi file, un accesso abusivo al PC dello studio: sono tutti data breach, se contengono dati dei pazienti.

L’art. 32 GDPR ti chiede di adottare misure tecniche e organizzative adeguate al rischio — per i dati sanitari significa, in concreto: cifratura dei dispositivi, password robuste e controllo degli accessi, backup regolari, protezione da malware. Non sono optional: sono la differenza tra un incidente gestibile e una violazione grave.

In breve: PC rubato, hackerato o colpito da ransomware con dati dei pazienti = data breach. Cifratura, password forti e backup (art. 32) sono ciò che riduce il danno — e a volte ti evitano perfino di dover avvisare i pazienti (vedi sotto).

L’iter da seguire: le 72 ore

Se sospetti una violazione, il tempo è tutto. Ecco la procedura.

1. Contieni l’incidente. Isola il dispositivo, cambia le credenziali, attiva la cancellazione da remoto se disponibile, ripristina dai backup.

2. Valuta la portata — il punto critico. Devi capire quanti pazienti e quali dati sono coinvolti: l’art. 33, par. 3 richiede di indicare nella notifica "le categorie e il numero approssimativo di interessati e di registrazioni di dati personali coinvolte". Trattandosi di dati sanitari, il rischio è quasi sempre elevato. Avere i dati organizzati e mappati (sapere cosa c’è sul dispositivo e per quante persone) è ciò che ti permette di rispondere a questa domanda: un Excel non cifrato con 2.000 pazienti su un portatile rubato significa una violazione che riguarda 2.000 persone.

3. Registra la violazione. L’art. 33, par. 5 impone di documentare tutte le violazioni — anche quelle che non notifichi — in un apposito registro dei data breach (circostanze, effetti, provvedimenti adottati).

4. Notifica al Garante entro 72 ore. Il Garante per la protezione dei dati personali è l’autorità italiana indipendente che vigila sulla privacy (l’"autorità di controllo" prevista dal GDPR). A notificare la violazione è il titolare del trattamento — cioè tu, il professionista. Se la violazione presenta un rischio per i diritti e le libertà delle persone, va notificata senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui ne hai ragionevole certezza (art. 33). In pratica: dal 1° luglio 2021 la notifica si fa esclusivamente online, tramite la procedura telematica dedicata del Garante (servizi.gpdp.it/databreach), indicando la natura della violazione, le categorie e il numero approssimativo di pazienti coinvolti, le probabili conseguenze e le misure adottate. Se superi le 72 ore, devi motivare il ritardo. Sullo stesso portale il Garante mette a disposizione anche uno strumento di autovalutazione per capire se e come notificare.

5. Comunica ai pazienti se il rischio è elevato. L’art. 34 impone di informare senza ingiustificato ritardo anche gli interessati (i pazienti) quando la violazione comporta un rischio elevato. La comunicazione non è dovuta se i dati erano cifrati e resi inintelligibili, se hai adottato misure successive che scongiurano il rischio, o se richiederebbe sforzi sproporzionati (in tal caso, comunicazione pubblica).

6. Documenta le misure correttive adottate per evitare il ripetersi.

In breve: PC compromesso → contieni, capisci quanti pazienti e quali dati, registra la violazione, notifica al Garante entro 72 ore se c’è rischio, avvisa i pazienti se il rischio è elevato. La cifratura può esonerarti dall’avvisare i pazienti: ecco perché conviene.

Un data breach, da solo, non è una condanna

Ecco il punto che spesso sfugge: il GDPR non sanziona il fatto in sé di aver subito una violazione. Con le tecnologie attuali — ransomware, furti di dispositivi, fughe di dati — le violazioni sono sempre più frequenti e possono colpire anche chi lavora con diligenza. Quello che il Garante valuta è come ci eri arrivato e come l’hai gestita.

L’art. 83, par. 2, GDPR elenca le circostanze che l’autorità considera per decidere se e quanto sanzionare. Tra le principali attenuanti:

Non solo: il Garante può adottare altre misure correttive al posto della multa, come un ammonimento (art. 58, par. 2). In altre parole, una violazione affrontata correttamente — da chi era già a norma — può concludersi senza sanzione, o con una sanzione ridotta.

In breve: un data breach non è automaticamente una multa. Se eri già a norma (misure adeguate, informativa e consensi documentati) e lo gestisci bene e in fretta, le attenuanti dell’art. 83 possono portare a nessuna sanzione o a un semplice ammonimento. Le multe pesanti colpiscono la negligenza, non l’incidente in sé.

Quando invece scattano le sanzioni

Per chi non è in regola o gestisce male la violazione, le conseguenze non sono teoriche:

Il Garante ha già sanzionato casi reali in ambito sanitario, con importi da alcune migliaia a decine di migliaia di euro — quasi sempre per misure inadeguate o omessa notifica, non per il semplice fatto della violazione.

In breve: le sanzioni pesanti puniscono chi non si è messo a norma o non notifica. Mettersi a norma prima — e avere una procedura di breach pronta — costa enormemente meno che subirle.

Modulo data breach: cosa raccogliere per la notifica

Se devi notificare una violazione, queste sono le informazioni da mettere insieme — quelle richieste dall’art. 33 e dal modulo del Garante. Tienile pronte: puoi usare questo schema come traccia da compilare al momento dell’incidente.

In breve: prepara questi 8 punti e la notifica al Garante (su servizi.gpdp.it/databreach) diventa rapida e completa. Conservali anche nel tuo registro delle violazioni.

Come ConsensoSicuro ti mette in regola (su informativa e consensi)

Mettiamo subito un punto fermo: ConsensoSicuro non gestisce la tua cartella clinica — quella resta tua. Quello che ConsensoSicuro copre è il fronte informativa e consensi, che è obbligatorio a prescindere da dove tieni i dati clinici:

In altre parole: qualunque sia il modo in cui gestisci i dati clinici, la base documentale del trattamento — informativa e consensi — è in regola, documentata e protetta. È lo scudo che, in caso di contestazione o controllo, fa la differenza.

Per capire come funziona la generazione dell’informativa e dei consensi, vedi la guida Come funziona; per il modulo della tua disciplina, le professioni sanitarie supportate.

Prova ConsensoSicuro gratis per 7 giorni e parti con informativa e consensi a norma, firmati e tracciati.

Fonti

Aggiornato al 5 giugno 2026. Contenuto informativo, non sostituisce un parere legale: per i casi concreti consulta un professionista del diritto e i canali ufficiali del Garante.