GDPR tecnico per studi medici: 10 controlli che il Garante verifica davvero

Nel 2024 e 2025 il Garante Privacy italiano ha intensificato drasticamente gli accertamenti sugli studi medici e dentistici privati. Le sanzioni comminate nel periodo vanno da 2.000 € a oltre 80.000 €, quasi sempre per la stessa ragione: assenza di misure tecniche adeguate a proteggere i dati sanitari dei pazienti (art. 32 GDPR).

Il problema non è l'informativa privacy sul sito. Quella, praticamente tutti ce l'hanno. Il problema è il divario tra quello che c'è scritto nell'informativa e quello che succede davvero dentro lo studio. Quando un ispettore del Garante entra, non legge l'informativa: verifica i fatti.

Ecco i 10 controlli concreti che ho visto fare personalmente, o che emergono dalle sanzioni pubblicate ufficialmente sul sito del Garante.

Controllo 1 — La password del gestionale

L'ispettore chiede: "Chi accede al gestionale? Quante password ci sono? Dove sono scritte?"

Situazione tipica dello studio italiano: una sola password, condivisa tra medico, assistente e segretaria, attaccata con un post-it sotto la tastiera del PC accoglienza. "Tanto è solo per comodità, siamo in 3". Questo basta per far scattare il rilievo.

Cosa vogliono vedere

• Un account per persona, nominativo
• Password con requisiti di complessità (minimo 12 caratteri, mix caratteri)
• Password cambiate se un dipendente lascia lo studio
• Possibilmente un password manager (Bitwarden Teams, ~3 €/utente/mese)

Controllo 2 — L'autenticazione a due fattori (2FA)

Per i dati sanitari, che sono categoria speciale GDPR (art. 9), l'autenticazione semplice è considerata insufficiente. Il Garante si aspetta 2FA sui sistemi che gestiscono dati sanitari.

Nel sanzionatorio 2024-2025, diversi provvedimenti hanno citato l'assenza di 2FA come aggravante. Provvedimento #9924821 (20.000 €) di un poliambulatorio dell'Emilia ne è un esempio pubblico.

Cosa fare

Attiva 2FA sul gestionale (se il software lo supporta), sull'email dello studio (Google Workspace e Microsoft 365 la offrono gratis), sugli accessi remoti al server (se esistono).

Controllo 3 — Cifratura dei dispositivi

Scenario: notebook dello studio con cartelle cliniche viene rubato dall'auto del medico. Conseguenze? Se il disco è cifrato (BitLocker o FileVault), il ladro ha solo un pezzo di metallo. Se non lo è, ha 5.000 cartelle cliniche digitali.

Il Garante chiede: "Gli hard disk dei computer dello studio sono cifrati? Mi fate vedere?"

Cosa fare (gratis)

• Windows Pro: attiva BitLocker (Start → cerca "BitLocker" → attiva)
• Mac: attiva FileVault (Preferenze Sistema → Sicurezza → FileVault)
• Salva la chiave di recupero in cassaforte o password manager (NON su post-it nello studio)

Controllo 4 — Il backup dei dati

Tre domande tipiche: "Fate backup? Dove? Quando è stato testato l'ultimo ripristino?". La risposta più comune — che non piace al Garante — è: "Sì, il backup gira ogni notte, poi non so...".

Cosa vogliono vedere

• Regola 3-2-1: 3 copie, 2 supporti diversi, 1 offsite (fuori studio)
• Backup cifrato (specialmente se sta in cloud)
• Almeno 1 test di ripristino documentato nell'ultimo anno
• Procedura scritta di ripristino (chi fa cosa se il server crolla lunedì mattina)

Uno studio di Terni ha speso 12.000 € per ricostruire un anno di cartelle cliniche dopo un ransomware, perché il backup "girava" ma il disco di backup era staccato da 8 mesi e nessuno se ne era accorto. Testate.

Controllo 5 — Gli aggiornamenti del software

Il Garante chiede: "Che versione di Windows è sul server? Quando è stato aggiornato il gestionale l'ultima volta?"

Trovare Windows Server 2012 (fine supporto Microsoft da ottobre 2023) in studi medici nel 2026 è più comune di quanto si immagini. Stesso problema con CMS WordPress usati per siti medici con versioni di 5 anni fa.

Cosa fare

• Inventario: quale versione di ogni software critico stai usando
• Aggiornamenti automatici dove possibile
• Finestra di manutenzione mensile (es. primo sabato, 2 ore)
• Piano di dismissione per sistemi fuori supporto

Controllo 6 — Wi-Fi pazienti vs Wi-Fi staff

Due reti separate, è obbligatorio. Se la paziente in sala d'attesa accede al Wi-Fi con lo stesso SSID/password del gestionale dello studio, la sua Apple Watch infetta può (teoricamente) accedere al server dello studio. Il Garante lo sa.

Cosa fare

Ogni router moderno (oltre 40 €) supporta la "Guest Network" con SSID separato e isolato. Configurala in 30 minuti. Cambia periodicamente la password del Wi-Fi guest.

Controllo 7 — Gli accessi remoti

Molti studi hanno software di assistenza tecnica remota installato (TeamViewer, AnyDesk, RDP aperto). Il Garante verifica: "Chi può accedere da remoto al server? Come?"

Problemi tipici: password di TeamViewer mai cambiata dall'installazione, RDP esposto direttamente su Internet senza VPN, AnyDesk sempre acceso in background.

Cosa fare

• Accesso remoto solo tramite VPN aziendale
• Mai esporre RDP (porta 3389) direttamente su internet
• Password robuste + 2FA sul sistema di accesso remoto
• Log degli accessi remoti conservati 6 mesi

Controllo 8 — Gestione email

Le email contenenti dati sanitari sono dati sanitari. Il Garante chiede: "Dove sono salvate le email? Chi vi ha accesso?"

Problemi tipici: il medico usa la sua Gmail personale (dottorrossi@gmail.com) per comunicare referti ai pazienti. Dati sanitari finiscono su server Google consumer, senza accordo di responsabilità (DPA) adeguato. Sanzionabile.

Cosa fare

• Email professionale su dominio dello studio (info@studiodr.it)
• Provider con DPA GDPR-compliant (Google Workspace Business, Microsoft 365 Business, ArubaPEC Pro)
• Per invio referti: canali sicuri (Tresorit Send, portale riservato, PEC)
• Informativa pazienti aggiornata sul canale email

Controllo 9 — Gestione del personale uscente

Quando un'assistente lascia lo studio, cosa succede ai suoi accessi? Risposta sincera del 70% degli studi italiani: "Non ci abbiamo pensato". Account vecchi restano attivi per anni, il telefono aziendale dismesso è pieno di WhatsApp con dati sanitari.

Cosa vogliono vedere

• Checklist scritta di offboarding: account disattivati entro 24 ore dall'ultimo giorno
• Recupero dispositivi aziendali (notebook, telefoni)
• Cancellazione sicura dei dati dai dispositivi restituiti
• Controllo accessi revocato anche sui servizi cloud

Controllo 10 — Il registro dei trattamenti

Non è un controllo tecnico ma è collegato: il Garante chiede di vedere il Registro dei Trattamenti (art. 30 GDPR). Deve essere aggiornato, deve riflettere la realtà, non essere un PDF scaricato da Google nel 2018 mai più toccato.

Cosa deve contenere

• Finalità del trattamento (es. "gestione cartelle cliniche", "invio referti", "fatturazione")
• Categorie di interessati (pazienti, dipendenti, fornitori)
• Categorie di dati (anagrafici, sanitari, finanziari)
• Destinatari (chi riceve i dati: laboratori, ASL, commercialista)
• Misure tecniche di sicurezza applicate (collegamento ai controlli 1-9)
• Tempi di conservazione

Un ultimo consiglio pratico

Molti studi piccoli pensano: "Ma noi siamo piccoli, chi vuoi che venga a controllare noi?". La risposta, nel 2025-2026, è: il Garante ha aumentato i controlli a campione. E non arrivano solo per ispezioni ordinarie: arrivano dopo segnalazioni di pazienti insoddisfatti, dopo data breach (anche piccoli), dopo articoli di cronaca. Il 30% delle sanzioni 2025 è partita da una segnalazione di un singolo paziente.

La buona notizia: adeguarsi costa meno della maggior parte delle altre spese dello studio. Con 1.000-3.000 € di investimento iniziale si copre il 90% dei rischi. E con 600-1.500 € all'anno si mantiene la conformità.

Non servono progetti enormi. Serve metodo.

Articolo scritto da Daniel Filiu Mayedo, consulente cybersecurity a Terni (FiliuTech). Le informazioni sui provvedimenti del Garante sono pubbliche sul sito garanteprivacy.it. Questo articolo non sostituisce una consulenza legale specifica.