Cartelle cliniche: davvero devi conservarle per sempre?
Share
La conservazione delle cartelle cliniche è regolata da un insieme di norme europee e nazionali che bilanciano tutela della salute, obblighi legali e protezione dei dati personali. Il principio generale del GDPR impone limiti temporali, ma in sanità entrano in gioco anche responsabilità professionale e continuità assistenziale, che rendono il quadro più complesso. Non esiste quindi una regola unica valida per tutti i casi, ma criteri da applicare in modo proporzionato e documentato. Per molti professionisti sanitari la risposta sembra scontata: le cartelle cliniche si conservano sempre, senza scadenza. In realtà il quadro normativo è più articolato e non giustifica una conservazione illimitata automatica. Il GDPR introduce infatti un principio chiaro: i dati personali devono avere un tempo di conservazione definito e limitato, anche quando si tratta di informazioni sanitarie.
Il principio del GDPR: limite alla conservazione
Il Regolamento (UE) 2016/679 stabilisce che i dati personali devono essere conservati solo per il tempo necessario alle finalità per cui sono stati raccolti. Questo vale in modo ancora più rigoroso per i dati sanitari, considerati “categorie particolari” di dati. In pratica, significa che una conservazione indefinita non è la regola: deve sempre esserci una motivazione giuridica e organizzativa che giustifichi i tempi scelti, documentata all’interno delle policy della struttura sanitaria.
Norme sanitarie e continuità delle cure
Accanto al GDPR, intervengono le norme nazionali e le esigenze cliniche. La cartella clinica non è un semplice documento amministrativo, ma uno strumento essenziale per garantire la continuità delle cure e ricostruire la storia sanitaria del paziente. Per questo motivo, in ambito ospedaliero e specialistico, i tempi di conservazione sono molto lunghi e possono arrivare anche a diversi anni o essere ulteriormente estesi in casi specifici. Tuttavia, la logica resta quella della necessità clinica, non della conservazione illimitata automatica.
Responsabilità professionale e rischio legale
Uno dei motivi principali che spinge alla conservazione prolungata è la responsabilità professionale. La documentazione sanitaria è infatti lo strumento principale in caso di contenziosi medico-legali. Tuttavia, anche questo elemento deve essere valutato in modo proporzionato. I tempi di conservazione dovrebbero tenere conto dei termini di prescrizione delle azioni legali e del rischio effettivo, evitando accumuli indiscriminati di dati non più necessari.
Obblighi fiscali e amministrativi
Non tutta la documentazione sanitaria segue le stesse regole. Gli aspetti fiscali e amministrativi (fatture, registri, documenti contabili) hanno tempi di conservazione stabiliti da normative specifiche e distinti da quelli clinici. Confondere questi due piani porta spesso a un errore comune: conservare tutto “per sicurezza”, senza distinguere tra ciò che è necessario per la cura e ciò che è richiesto per finalità contabili.
I rischi della conservazione illimitata
Conservare senza limiti può sembrare prudente, ma comporta rischi concreti: aumento dell’esposizione a data breach, difficoltà nella gestione dei dati, costi elevati di archiviazione e possibili criticità in caso di controlli sul rispetto del GDPR. La normativa, infatti, non premia l’accumulo, ma la gestione proporzionata e tracciabile dei dati lungo tutto il loro ciclo di vita.
Come gestire correttamente i tempi di conservazione
Una gestione corretta dei dati sanitari richiede quindi una data retention policy strutturata, che definisca in modo chiaro tipologie di dati, finalità, tempi di conservazione e criteri di cancellazione o anonimizzazione.
Il punto centrale non è scegliere tra conservare tutto o eliminare i dati, ma trovare un equilibrio tra esigenze diverse che coesistono nello stesso sistema: tutela della salute, responsabilità professionale, adempimenti fiscali e protezione dei dati personali. Il GDPR non impone la cancellazione indiscriminata, ma richiede che ogni conservazione sia motivata, proporzionata e documentata.
In questa prospettiva, la gestione delle cartelle cliniche non è più soltanto un’attività archivistica, ma un vero processo organizzativo e giuridico. Per questo diventa essenziale definire regole chiare, tracciare le scelte e distinguere correttamente tra le diverse categorie di dati, evitando sia rischi legali sia accumuli non giustificati.
In tale contesto, il ruolo del DPO (Data Protection Officer) è centrale: supporta le strutture sanitarie nella definizione e nel controllo delle policy di trattamento e conservazione, assicurando coerenza tra obblighi clinici, normativa privacy e requisiti organizzativi. La sua funzione contribuisce a rendere la gestione dei dati sanitari un sistema strutturato di governance e compliance, e non un semplice adempimento formale.