I dati sanitari descrivono referti, diagnosi, cartelle cliniche e, più in generale, informazioni sullo stato di salute. Sono dati particolarmente delicati e richiedono tutele rafforzate. Nel linguaggio comune si parla di “dati sensibili”, ma il termine giuridicamente corretto nel GDPR è “categorie particolari di dati”, tra cui rientrano i dati relativi alla salute.

Che cosa sono i dati sanitari e come si inquadrano nel GDPR

Il GDPR definisce i dati relativi alla salute come informazioni riguardanti la salute fisica o mentale di una persona, presenti, passate o future. Rientrano cartelle cliniche, referti, esami di laboratorio, certificati di malattia, nonché dati genetici e dati biometrici quando permettono l’identificazione univoca dell’interessato. La terminologia corretta è: “dati personali” (categoria generale), “categorie particolari di dati” (art. 9 GDPR: includono salute, dati genetici e biometrici) e non più “dati sensibili” come nella previgente terminologia del Codice Privacy.

Il quadro normativo: GDPR e Codice Privacy

La disciplina si fonda su due pilastri: il Regolamento (UE) 2016/679 – GDPR e il Codice Privacy (D.lgs. 196/2003) come modificato per l’adeguamento al GDPR. In Italia vigono inoltre le regole del Garante privacy (linee guida, autorizzazioni generali e provvedimenti), che specificano modalità e cautele per il settore sanitario.

Quali sono i diritti del paziente

Il paziente dispone dei diritti previsti dal GDPR: accesso, rettifica, cancellazione e limitazione. Nel contesto sanitario è frequente anche l’“oscuramento” di eventi clinici nel Fascicolo Sanitario Elettronico (FSE), che limita la visibilità a specifici professionisti.

Chi può trattare i dati sanitari e per quali finalità

Accedono ai dati sanitari solo soggetti autorizzati e per finalità determinate: medici e specialisti, infermieri e operatori sanitari per l’assistenza, farmacisti per l’erogazione dei farmaci prescritti, strutture sanitarie pubbliche e private per l’organizzazione e l’erogazione dei servizi. Sotto il profilo organizzativo, il “titolare” e gli eventuali “responsabili del trattamento” definiscono finalità e mezzi; il personale opera su designazione e istruzioni (art. 29 GDPR e art. 2‐quaterdecies del Codice Privacy).

Quando serve il consenso e quando no

Per diagnosi, cura e prevenzione il trattamento dei dati sanitari non richiede di regola il consenso, in quanto fondato sulle basi giuridiche e sulle condizioni di liceità previste dal GDPR (art. 6 e art. 9, par. 2, lett. h) e dalla normativa nazionale).

Per ricerca scientifica e statistica il consenso non è sempre necessario: il GDPR consente trattamenti senza consenso quando la ricerca avvenga nel rispetto di specifiche garanzie (art. 9, par. 2, lett. j, e art. 89 GDPR, nonché disciplina nazionale di settore). Diversamente, occorre il consenso esplicito. Il marketing sanitario, invece, richiede sempre un’idonea base giuridica e, di regola, il consenso dell’interessato. In alcuni casi la legge consente trattamenti senza consenso per motivi di sanità pubblica o interesse pubblico rilevante, nel rispetto di garanzie adeguate.

Sicurezza e privacy dei dati sanitari: come vengono protetti

La tutela non è solo normativa, ma anche organizzativa e tecnologica. Oltre a crittografia, autenticazione forte e profili di accesso, le strutture devono curare la formazione del personale e la tenuta dei registri delle attività di trattamento. Per trattamenti ad alto rischio (come quelli sanitari) è spesso necessaria una DPIA – valutazione d’impatto – e vige l’obbligo di notificare i data breach al Garante e, nei casi previsti, agli interessati (artt. 35, 33 e 34 GDPR).

Rischi ricorrenti e come prevenirli

I principali pericoli riguardano furti di dati tramite attacchi informatici, data breach con divulgazione indebita di referti e cartelle, nonché errori umani. L’adozione di policy interne, accordi con i responsabili (art. 28 GDPR) e il principio di privacy by design/by default (art. 25) riduce l’esposizione.

Come può tutelarsi il paziente

Chiedere trasparenza su chi accede ai dati e per quali finalità, esercitare accesso, rettifica, limitazione e cancellazione, richiedere l’oscuramento nel FSE quando possibile e revocare il consenso per trattamenti non necessari alla cura.

Quando la legge NON ti tutela davvero

Pur in presenza di un quadro normativo dettagliato, esistono situazioni in cui la tutela della privacy e dei dati sanitari non è piena o presenta zone d’ombra. Conoscerne i limiti aiuta a muoversi con maggiore cautela ed esercitare correttamente i propri diritti.

Zone grigie normative

Alcuni trattamenti non rientrano in modo lineare nelle fattispecie previste dal GDPR o dal Codice in materia di protezione dei dati personali (D.lgs. 196/2003).

Esempi tipici sono:

Condivisione di dati sanitari tra app o piattaforme digitali che non rispettano pienamente gli obblighi GDPR (informative poco trasparenti, basi giuridiche incerte, trasferimenti extra SEE non adeguatamente presidiati).
Impiego di informazioni mediche a fini promozionali o pubblicitari, in assenza di un’idonea base giuridica e di un’informativa chiara.
Trattamenti dichiarati anonimi o pseudonimizzati senza reali garanzie di non reidentificazione: si ricorda che i dati davvero anonimizzati escono dall’ambito di applicazione del GDPR, mentre i dati pseudonimizzati restano dati personali e richiedono una valida base giuridica e adeguate misure di sicurezza.

Diffusione indebita da parte di terzi

La legge non riesce sempre a prevenire condotte scorrette poste in essere da soggetti estranei al circuito sanitario:

Giornalisti o media che divulgano dettagli sulla salute di una persona in assenza di titolo o autorizzazione, salvo le specifiche deroghe per finalità giornalistiche e di interesse pubblico previste dal GDPR e dalla normativa nazionale.
Violazioni dei dati personali (data breach) o attacchi informatici che espongono referti cartelle cliniche o informazioni genetiche, con rischi immediati per la riservatezza e la dignità dell’interessato.

Rischi legati a nuove tecnologie

La digitalizzazione e l’uso dell’intelligenza artificiale in sanità aprono fronti di rischi specifici:

Algoritmi e sistemi di analisi che, se non progettati e governati correttamente, possono trattare o inferire dati sensibili oltre lo stretto necessario, aumentando l’esposizione dell’interessato.
Soluzioni cloud che non garantiscono adeguati livelli di conformità (governance, sicurezza, localizzazione): in particolare, i trasferimenti di dati verso Paesi extra-UE/SEE richiedono garanzie idonee (decisioni di adeguatezza oppure Clausole Contrattuali Standard con eventuali misure supplementari) per evitare accessi non autorizzati o usi impropri

Domande frequenti su dati sanitari e privacy

Che cosa sono i dati sanitari?

I dati sanitari sono informazioni sulla salute fisica o mentale di una persona, passata, presente o futura, incluse cartelle cliniche, referti, esami, dati genetici e biometrici.

“Dati sensibili” o “categorie particolari”?

La terminologia attuale del GDPR è “categorie particolari di dati” (art. 9); i dati sanitari rientrano in tale categoria.

Quando serve il consenso?

Per diagnosi e cura di regola non serve; per ricerca può non servire se ricorrono le condizioni e le garanzie del GDPR e della legge nazionale; per finalità promozionali/marketing serve normalmente il consenso esplicito.

In conclusione

La gestione corretta dei dati sanitari richiede competenze giuridiche e organizzative. Per valutare la liceità dei trattamenti, impostare informative, contratti con i responsabili e misure di sicurezza, è consigliabile rivolgersi a professionisti esperti in privacy e diritto sanitario.

Se hai necessità di assistenza o desideri verificare le tue procedure, contatta lo Studio Legale Scerbo: offriamo consulenza dedicata su GDPR sanitario, FSE e gestione dei data breach.

Dati sanitari: quando la legge ti tutela (e quando no)