Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

GDPR e Privacy
torna alle news

Dati sanitari dei clienti negli studi professionali: obblighi GDPR quando il trattamento è occasionale

Quando uno studio professionale (ad esempio un commercialista o un consulente del lavoro) tratta dati sanitari dei clienti, solo in via occasionale — ad esempio certificati di malattia, invalidità, infortuni, benefici fiscali o previdenziali — si applica comunque il GDPR, ma con un approccio “proporzionato al rischio e alla struttura del trattamento”.

Il punto chiave è intendere che solo per il fatto di trattare dati sanitari, non si è chiamati ad adempiere a tutti gli obblighi imposti alle strutture sanitarie, si resta, tuttavia, titolari di un trattamento di dati classificati come categorie particolari dall’articolo 9 del Regolamento n. 679/2016 e per questo motivo, occorre prudenza e attenzione particolare rispetto a questo trattamento.  

Base giuridica: non serve quasi mai il consenso

Uno degli errori più frequenti è pensare che serva sempre il consenso come base giuridica di un trattamento di dati sanitari effettuato in via occasionale.

In realtà, per gli studi professionali, il consenso NON è la base giuridica tipica; la base è quasi sempre l’esecuzione di un obbligo legale o lo svolgimento di un incarico professionale.

Ad esempio, nella gestione delle buste paga con assenze per malattia, nelle pratiche INPS/INAIL, nell’ambito delle detrazioni fiscali per spese mediche o disabilità, per adempimenti previdenziali, richiamare il consenso come base giuridica risulta spesso inappropriato perché non verrebbe rilasciato liberamente nel rapporto cliente-professionista.

L’Informativa privacy è sempre obbligatoria

Anche nel trattamento occasionale di dati sanitari, l’informativa è comunque sempre necessaria.

In essa occorre indicare:

  • chi è il titolare (studio/professionista);
  • quali dati vengono trattati (inclusi quelli sanitari se pertinenti);
  • finalità del trattamento;
  • base giuridica;
  • tempi di conservazione;
  • diritti dell’interessato.

Nella pratica, molti studi integrano un’unica informativa generale per clienti e dipendenti.

Nomina a responsabile del trattamento (non necessariamente, dipende dalla struttura organizzativa)

Questo adempimento dipende dall’organizzazione dello studio.

Se il professionista tratta i dati direttamente è considerato titolare del trattamento.

Se utilizza soggetti esterni che accedono ai dati (software payroll, cloud, consulenti IT), è necessario un accordo per nominarli responsabili del trattamento, ex art. 28 GDPR.

Esempi tipici di fornitori che devono essere designati responsabili del trattamento, ex articolo 28:

  • software paghe in cloud;
  • provider gestionali;
  • servizi di archiviazione documentale;
  • consulenti IT.

Misure di sicurezza “semplificate, ma adeguate”

Non è necessario disporre di un “sistema ospedaliero”, ma occorre, comunque, un livello minimo di sicurezza adeguato.

Per uno studio professionale questo significa dotarsi di misure di sicurezza logica e dunque:

  • password robuste e cambiate periodicamente;
  • autenticazione a due fattori (se possibile);
  • accessi profilati per dipendenti;
  • backup regolari,

e di misure di sicurezza organizzativa:

  • istruzioni interne su chi può vedere cosa (accessi limitati al ruolo e alla funzione);
  • gestione separata dei fascicoli;
  • divieto di invio dati sensibili non protetti via e_mail.

Misure di sicurezza fisica:

  • archivi cartacei non accessibili a terzi;
  • scrivanie protette;
  • distruzione sicura dei documenti;
  • attivazione delle password alla schermata di accesso al pc, nei casi di allontanamento dalla postazione;
  • policy e regolamenti interni.

Registro dei trattamenti, spesso semplificato, suggerito, ma non sempre obbligatorio

Il registro dei trattamenti (art. 30 GDPR) è obbligatorio per:

  • imprese con più di 250 dipendenti;
  • oppure quando il trattamento non è occasionale;
  • oppure se riguarda categorie particolari di dati su base non sporadica.

Uno studio che tratta dati sanitari “solo occasionalmente”, potrebbe anche non essere obbligato, ma nella pratica, quasi tutti gli studi professionali adottano il registro dei trattamenti, in quanto è lo strumento principale di accountability.

Formazione del personale

Anche negli studi piccoli è essenziale che:

  • collaboratori e segretarie abbiano consapevolezza che trattano dati “sensibili”;
  • siano formati su invio e_mail, gestione documenti e accessi;
  • evitino comunicazioni improprie (anche verbali);
  • sappiano che tali dati non devono essere inseriti in sistemi AI.

E’ ormai noto che la gran parte delle violazioni derivano da condotte umane errate.

Conservazione dei dati: criterio di “necessità fiscale/professionale”

Per gli studi professionali che trattano dati sanitari in via secondaria non esistono tempi precisi nella conservazione di tali informazioni, tuttavia la regola generale resta ferma: i dati si conservano solo per il tempo necessario all’esecuzione della finalità dichiarata nell’informativa (es. fiscale, previdenziale, contrattuale), successivamente vanno cancellati o anonimizzati.

Ad esempio, un certificato medico per malattia in busta paga deve essere conservato per obbligo fiscale/previdenziale, poi archiviato secondo i termini di legge (spesso 5–10 anni a seconda del documento).

Data breach: obbligo anche per studi piccoli

Se si verifica una violazione (es. email inviata al destinatario sbagliato con dati sanitari), occorre valutare il rischio, se il rischio risulta elevato è necessario effettuare una notifica al Garante entro 72 ore; se dalla violazione può derivare un rischio di danno per i diritti e le libertà degli interessati, l’informazione sull’evento deve essere trasmessa anche al cliente.

Nella pratica, molti data breach negli studi professionali si verificano proprio:

  • per e_mail errate;
  • documenti inviati al cliente sbagliato;
  • accessi non autorizzati a file condivisi.

DPIA: quasi mai obbligatoria negli studi occasionali

La valutazione d’impatto (DPIA) è richiesta solo se il trattamento è:

  • sistematico;
  • su larga scala;
  • tecnologicamente avanzato;
  • ad alto rischio.

Uno studio professionale che tratta dati sanitari solo per pratiche fiscali o del lavoro, di norma NON deve fare DPIA, salvo non utilizzi sistemi particolarmente complessi o completamente automatizzati.

In sintesi: cosa deve fare davvero uno studio professionale che tratta dati sanitari occasionalmente?

Per facilitare al massimo, possiamo ridurre gli adempimenti base nei seguenti:

  • informativa GDPR aggiornata;
  • nomine responsabili esterni (software, IT, cloud);
  • misure minime di sicurezza informatica e organizzativa;
  • formazione del personale;
  • gestione corretta sulla conservazione documenti;
  • registro trattamenti (consigliato quasi sempre);
  • procedura data breach.

In definitiva, per uno studio di commercialisti o un professionista non sanitario, il GDPR non impone una struttura complessa, ma richiede controllo, consapevolezza e organizzazione proporzionata al rischio.

Il punto non è la quantità dei dati sanitari trattati, ma il contesto in cui il trattamento viene effettuato, dunque, come essi vengono gestiti; chi vi accede; quanto sono protetti e se lo studio è in grado di dimostrare le misure adottate.

In altri termini, anche un trattamento “occasionale” di dati sanitari non è mai neutro: è pur sempre un trattamento ad alto rischio potenziale, che necessita di una gestione strutturata, ma proporzionata alla situazione in cui si svolge.