Sanità e GDPR: cosa ci dice la Relazione del Garante della Privacy

La Relazione annuale del Garante per la protezione dei dati personali, presentata il 15 luglio 2024, traccia un quadro chiaro: il settore sanitario è tra i più esposti a rischi di violazione della privacy.

Non solo per la natura delicata dei dati trattati, ma anche per la crescente digitalizzazione, l'interconnessione dei servizi pubblici e privati, e l’adozione massiva di strumenti come Fascicolo Sanitario Elettronico 2.0, telemedicina e intelligenza artificiale.

Tra le letture più puntuali della Relazione si segnala l’analisi pubblicata su Quotidiano Sanità a firma dell’Avv. Nadia Martini, Head of Data Protection, Cybersecurity & Innovation presso Rödl & Partner. Un contributo che merita attenzione per chiarezza, concretezza e capacità di sintesi delle criticità operative: Privacy e Sanità: Le priorità emergenti dalla Relazione del Garante - Quotidiano Sanità

I principali alert per il settore sanitario

1. Sicurezza informatica e data breach

Nel 2023, il 9% degli incidenti privacy segnalati al Garante ha riguardato il comparto sanitario, con un incremento quadruplo rispetto all’anno precedente. Le vulnerabilità più comuni:

• assenza di segmentazione delle reti
• mancanza di autenticazione multifattoriale
• backup non testati
• vulnerabilità note non monitorate

2. Accessi non autorizzati ai dossier sanitari

In diversi casi, operatori non coinvolti nella cura hanno consultato cartelle cliniche o referti, in violazione del principio di minimizzazione. Fondamentali:

• tracciabilità degli accessi
• profilazione dei ruoli
• adozione del modello privacy by design

 Il nodo del Fascicolo Sanitario Elettronico 2.0

Il Garante ha richiamato l’attenzione su:

• necessità di omogeneità tra le Regioni
• gestione granulare dei consensi
• possibilità di oscurare documenti
• verifica delle piattaforme usate per la telemedicina

4. Intelligenza Artificiale e valutazioni di impatto

L’utilizzo dell’IA in sanità (diagnosi, prognosi, trattamento) richiede DPIA obbligatoria, supervisione umana e informazione trasparente agli interessati.

5. Errori di comunicazione e pubblicazione

Tra le violazioni più frequenti:

• invio di referti via e-mail a indirizzi errati
• pubblicazione online di documenti non anonimizzati
• smarrimento di cartelle cliniche
• uso non autorizzato dei dati per fini accademici o promozionali

Le raccomandazioni operative del Garante

L’Avv. Martini sintetizza nella sua analisi anche le principali azioni concrete raccomandate alle strutture sanitarie, pubbliche e private:

• Misure tecniche avanzate: autenticazione forte, segmentazione, backup testati, logging degli accessi.
• Definizione di ruoli: DPO, referenti locali privacy, amministratori di sistema con responsabilità chiare.
• Formazione continua: programmi annuali di aggiornamento obbligatorio.
• Privacy by design: sistemi progettati per proteggere i dati fin dalla nascita.
• Consenso documentato e separato: soprattutto nei sistemi FSE 2.0.
• Canali per l’esercizio dei diritti: portali sicuri e tracciabili per accesso, rettifica, cancellazione.

Non è più solo un adempimento, è un dovere di qualità

Come sottolinea l’Avv. Martini nella chiusura della sua analisi, la protezione dei dati personali non è più un onere burocratico, ma una componente essenziale della qualità delle cure e della fiducia nel sistema sanitario.

In un contesto sempre più interconnesso, il rischio non riguarda solo le grandi strutture. Ogni studio, poliambulatorio, casa di cura o farmacia è coinvolto. E ha l’obbligo di dotarsi degli strumenti giusti.

La soluzione OKPrivacy per trasformare gli obblighi in opportunità

Con il supporto di Consulcesi & Partners, OKPrivacy accompagna strutture pubbliche e private sanitarie nella piena conformità normativa, con soluzioni legali, organizzative e tecnologiche su misura.

👉 Contattaci ora per una consulenza riservata con i nostri esperti privacy
Valuteremo insieme lo stato di rischio della tua struttura e gli interventi prioritari da attivare.