Un’infrastruttura pubblica che incide su un ecosistema misto
La Piattaforma Nazionale di Telemedicina non è una sostituzione del sistema sanitario regionale, ma un’infrastruttura di coordinamento che si interpone in un ecosistema dove convivono strutture pubbliche, private convenzionate e private. Il DM del 19 novembre 2025 definisce i perimetri, ma lascia aperta una questione cruciale: come garantire che flussi di dati clinici sensibilissimi transitino attraverso un’architettura ibrida senza perdere responsabilità.
I dati di telemedicina non nascono tutti uguali. Un paziente che riceve una consulenza tramite telemedicina presso una struttura privata convenzionata genera flussi diversi rispetto a uno che si rivolge a una clinica meramente privata. Nel primo caso, il dato alimenta flussi regionali e nazionali di governo. Nel secondo, il flusso dipende da accordi contrattuali e dalla volontà della clinica di integrarsi nei sistemi pubblici. Il decreto mette ordine a questa complessità, ma richiede di comprenderne la geometria per evitare fraintendimenti sulla responsabilità.
L’Architettura come strumento di tutela
La distinzione fondamentale introdotta dal decreto è quella tra IRT (Infrastrutture Regionali di Telemedicina) e INT (Infrastruttura Nazionale di Telemedicina).
IRT (Infrastrutture Regionali di Telemedicina): Sono gestite dalle Regioni e dagli enti pubblici della sanità regionale. Trattano dati clinici completi – anamnesi, esami, diagnosi, prescrizioni – per finalità di cura, governo sanitario regionale e continuità assistenziale. I dati rimangono “vivi” nel sistema regionale; conservati per il tempo necessario alla continuità della cura e al governo sanitario locale.
INT (Infrastruttura Nazionale di Telemedicina): Gestita da AGENAS (Agenzia Nazionale per i Servizi Sanitari Regionali), tratta esclusivamente dati pseudonimizzati. Non contiene identificativi diretti del paziente, ma codici che permettono l’aggregazione statistica. Retention massima: 24 ore. Finalità: monitoraggio epidemiologico e governance nazionale.
Questa separazione non è casuale. Implementa il principio di minimizzazione dei dati per design. La INT riceve solo ciò che serve per il monitoraggio: volume di consulenze, specialità, aree geografiche, velocità di risposta. Non vede il nome del paziente, non vede la diagnosi, non legge la ricetta. I dati clinici completi rimangono a livello regionale, dove la cura avviene. Se mai dovesse verificarsi un accesso non autorizzato alla INT, il danno sarebbe contenuto: sono dati pseudonimizzati, non tracciabili a livello individuale, cancellati dopo 24 ore.
Per un DPO in una struttura sanitaria, questa architettura significa responsabilità chiare e rischi mitigati. Ma richiede di verificare che i flussi verso la propria regione (IRT) e verso il centro (INT) siano realmente implementati secondo la separazione prevista, non per negligenza tecnica ma per design esplicito.
Ruoli e responsabilità: una chiarezza che mancava
Il decreto assegna responsabilità GDPR secondo una logica che, se rispettata, elimina zona grigia. Ecco la mappa:
| Soggetto | Ruolo Privacy | Ambito | Base giuridica |
|---|---|---|---|
| AGENAS | Titolare | Dati pseudonimizzati, monitoraggio, max 24h | Art. 6(1)(e) GDPR – interesse pubblico |
| Regioni/PA sanitaria | Titolari | Trattamenti tramite IRT | Art. 6(1)(e) e Art. 9(2)(h) GDPR |
| Strutture sanitarie (P/P) | Titolari autonomi | Dati per finalità di cura | Art. 9(2)(h) GDPR |
| Professionisti | Titolari autonomi | Dati clinici acquisiti | Art. 9(2)(h) GDPR |
| Fornitori tech | Responsabili | Dati per conto dei titolari | Art. 28 GDPR – DPA obbligatorio |
La base giuridica è cruciale. Non è il “consenso del paziente”, e questo non è un’omissione: è una scelta consapevole. La telemedicina nel SSN è un servizio di sanità pubblica, e il suo fondamento normativo è l’interesse pubblico (Art. 6(1)(e)), integrato dalla legittimità sanitaria (Art. 9(2)(h)). Assegnare tutto al consenso sarebbe sbagliato perché trasformerebbe un diritto (ricevere cura tramite telemedicina) in un’opzione facoltativa fragile, soggetta a ritiro.
Il paziente al centro, senza scorciatoie sul consenso
Una fonte ricorrente di confusione: il consenso del paziente per la telemedicina. Necessario? No, non come base giuridica per il trattamento dei dati. Necessario per la decisione clinica di ricevere cura tramite telemedicina? Sì, ma questo è consenso medico, non consenso privacy.
La distinzione è fondamentale. Il paziente che contatta una struttura sanitaria per una consulenza tramite video cede la propria manifestazione di volontà clinica – “acconsento a ricevere questa visita via telemedicina invece che in presenza” – ma non cede un diritto GDPR, perché il trattamento dei suoi dati è autorizzato dalla legge (l’ambito sanitario). Il suo consenso clinico è un elemento della relazione terapeutica, non una base giuridica privacy.
Per il controllante dei dati (la struttura sanitaria, il professionista) questo significa: nessun obbligo di ottenere un “consenso privacy” separato per la telemedicina. Rimane il dovere di informare il paziente su chi tratta i dati, per quali finalità, per quanto tempo. Un’informativa aggiornata che menzioni il flusso verso IRT e INT è sufficiente e corretta.
Per il paziente, questo è una protezione: non subisce pressione ad “acconsentire” al trattamento dei propri dati come condizione per ricevere cura, perché il trattamento è già legittimato dalla legge. Può rifiutare la telemedicina come scelta clinica, ma non può rifiutare il trattamento dei dati come ricatto sulla cura.
Intersezione con FSE 2.0 ed Ecosistema Dati Sanitari
La Piattaforma Nazionale di Telemedicina non è un’isola. Alimenta direttamente il Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) e l’Ecosistema Dati Sanitari (EDS). I dati di una consulenza di telemedicina, una volta registrati, fluiscono verso sistemi di livello superiore che integrano dati da molteplici fonti sanitarie.
Per una clinica privata che offra telemedicina, questa connessione ha implicazioni concrete. Il dato clinico generato non rimane confinato nel proprio database; entra in un’infrastruttura nazionale. Ciò che la clinica acquisisce come “proprio” (dati di cura dei propri pazienti) diventa componente di un patrimonio informativo collettivo.
Le conseguenze GDPR sono significative:
- Interoperabilità: I sistemi devono rispettare standard HL7 FHIR per trasmettere dati in modo strutturato. Non è una scelta di design, è un obbligo normativo.
- Qualità dei dati: Se il dato è destinato all’FSE, deve rispettare standard di completezza e correttezza. Una diagnosi mal registrata in telemedicina contamina il fascicolo nazionale.
- Informativa aggiornata: La privacy notice deve esplicitare che i dati fluiranno verso FSE 2.0, che saranno accessibili da altri operatori sanitari, che persisteranno per il tempo previsto dal governo della cura continuativa.
- Diritti degli interessati: Il paziente ha diritto di accesso ai propri dati ovunque siano in FSE, diritto di rettifica se errati, diritto di portabilità. La struttura deve garantire questi diritti anche sui dati gestiti da terzi.
Questo ecosistema integrato è una risorsa per la qualità della cura, ma non può essere implementato senza aggiornare le mappe di controllo privacy.
Implicazioni per i poliambulatori privati
Luca lavora con poliambulatori medico-fisioterapici e strutture di infortunistica. Se queste strutture intendono attivare o potenziare servizi di telemedicina, il DM del novembre 2025 pone obblighi concreti. Non sono complessità astratte: sono cose da fare entro deadline ragionevoli per mantenersi conformi.
1. Verifica del ruolo. Una clinica privata che offra telemedicina è titolare autonomo del trattamento dei dati clinici acquisiti durante la consulenza. Non è responsabile della struttura, non è delegato, non è fornitore: è titolare. Questo significa responsabilità diretta verso il Garante.
2. DPA con fornitori tecnici. Se la telemedicina transita su piattaforme esterne (software di video consulto, gestionale clinico in cloud, storage per referti), ciascun fornitore deve avere un Data Processing Agreement firmato. Non basta una “clausola privacy” nel contratto generale: serve un DPA GDPR-compliant che specifichi durata, natura, finalità, localizzazione, misure di sicurezza. Se non lo si fa, il Garante può sanzionare per “trattamento non autorizzato tramite responsabile” (Art. 28).
3. DPIA obbligatoria. Vedi sezione successiva. La DPIA non è facoltativa per telemedicina su larga scala (intesa come sistematica, ripetuta, riguardante un gran numero di interessati). Va fatta.
4. Privacy notice aggiornata. L’informativa existente potrebbe non menzionare: flussi di dati verso sistemi regionali, retention policy specifica per telemedicina, accesso di altri operatori via FSE, utilizzo di dati pseudonimizzati a livello nazionale. Aggiornare l’informativa non è un dettaglio burocratico: è comunicazione corretta al paziente sulla gestione dei suoi dati.
5. Technical compliance. I sistemi devono supportare standard di interoperabilità (HL7 FHIR), crittografia end-to-end durante la trasmissione, audit log per tracciare accessi, capacità di eseguire rettifiche e cancellazioni su richiesta del paziente. Non è “opzionale se la piattaforma lo supporta”: è requisito GDPR.
Cosa fare concretamente: Una clinic privata che vuole offrire telemedicina dovrebbe seguire questo ordine: (a) mappare i fornitori tecnici e verificare se hanno DPA; (b) assegnare a una persona la responsabilità di DPIA (può essere lo stesso DPO); (c) scrivere o aggiornare l’informativa; (d) verificare che i propri sistemi supportino FHIR e interoperabilità; (e) informare il proprio assicuratore RC, perché la telemedicina ha profilo di rischio diverso dalla cura in presenza.
DPIA per la telemedicina: quando è obbligatoria
L’Articolo 35 GDPR obbliga il controllante a condurre una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per taluni trattamenti. Uno dei criteri è “trattamento su larga scala di dati sensibili”. La telemedicina lo soddisfa: se una struttura offre consulenze sistematiche a decine di pazienti al mese, raccogliendo dati sanitari, la DPIA è obbligatoria.
La DPIA per telemedicina deve coprire:
- Descrizione dei flussi: Clinica → IRT regionale → INT nazionale → FSE 2.0. Chi tocca il dato, quando, perché.
- Valutazione dei rischi: Breach durante trasmissione (accesso non autorizzato ai video, ai referti). Perdita di confidenzialità (il dato pseudonimizzato potrebbe essere ricondotto all’identità). Violazione di integrità (alterazione della diagnosi nel flusso). Disponibilità (il paziente non riesce ad accedere al suo consultazione).
- Misure tecniche e organizzative: Crittografia in transito e a riposo. Autenticazione multi-fattore. Limitazione dell’accesso. Audit log. Politica di retention allineata al decreto. Backup. Piano di incident response.
- Mitigazione: Per ogni rischio identificato, qual è la contromisura? Se il rischio di breach è “alto”, la crittografia AES-256 è “media”? Allora aggiungi autenticazione biometrica o VPN. La DPIA è un dialogo tra rischi e contromisure, non un elenco statico.
- Consultazione del Garante: Se la DPIA non consente di concludere che il rischio residuale sia accettabile, il controllante deve consultare il Garante (Art. 36 GDPR). Raro, ma necessario se la tecnologia disponibile non mitiga sufficientemente.
Il Garante italiano ha pubblicato una lista di trattamenti che “normalmente” richiedono DPIA. La telemedicina non vi è esplicitamente menzionata, ma la giurisprudenza e la pratica amministrativa la considerano dentro il perimetro. Non fare la DPIA per evitare fatica significherebbe esporsi a sanzione per omissione (Art. 83(4) GDPR, fino a 10 milioni o il 2% del fatturato globale).
Conclusione
Il DM del 19 novembre 2025 non stravolge la telemedicina italiana. La sistematizza. Definisce che IRT e INT sono infrastrutture distinte, con responsabilità chiare. Accetta che l’ecosistema è misto – privato e pubblico – e crea regole che proteggono il dato clinico lungo tutto il flusso.
Per un DPO, il decreto è una risorsa: elimina ambiguità sulla base giuridica (interesse pubblico + scopi di cura, non consenso fragile), sulla architettura (separazione IRT-INT per minimizzazione), sulla responsabilità (chi è titolare, chi è responsabile, cosa deve contrattualizzare).
Per una struttura privata che vuole offrire telemedicina, non è una complicazione: è un’occasione di ordine. Aggiornare la DPA, condurre una DPIA, informare il paziente, verificare l’interoperabilità. Sono investimenti in conformità e in fiducia del paziente. Nel lungo termine, una clinica che gestisce dati di telemedicina in modo tracciabile e trasparente ha meno rischi legali e una reputazione più solida.
Riferimento normativo:
Decreto del Ministero della Salute 19 novembre 2025 – Disciplina del trattamento dei dati personali nell’ambito della Piattaforma Nazionale di Telemedicina. Integra il Regolamento (UE) 2016/679 (GDPR) e gli obblighi di accountability della struttura sanitaria.
Hai una struttura sanitaria che vuole implementare o potenziare telemedicina? La conformità GDPR e la corretta gestione dei dati clinici richiedono expertise specifica. Scopri come:
- Consulenza DPO per strutture sanitarie – Governance privacy personalizzata
- GDPR Privacy Compliance – Audit, DPIA, DPA e messa a norma
