Privacy e dati sanitari: come proteggere le tue informazioni mediche online

21 febbraio 2026 10 min di lettura Telemedicina

Guida pratica alla protezione dei dati sanitari online: cosa dice il GDPR, quali sono i tuoi diritti come paziente, come verificare se una piattaforma è sicura e cosa fare in caso di violazione.

In questo articolo

Cosa sono i dati sanitari e perché sono speciali
I tuoi diritti sui dati sanitari secondo il GDPR
Diritto di accesso (art. 15)
Diritto di rettifica (art. 16)
Diritto alla cancellazione (art. 17)
Diritto alla portabilità (art. 20)
Diritto di opposizione (art. 21)
Diritto di limitazione (art. 18)
Chi può accedere ai tuoi dati sanitari
Privacy e dati sanitari online: i rischi più comuni
App di salute e wellness
Comunicazione non sicura con il medico
Portali sanitari con autenticazione debole
Phishing sanitario
Come verificare se una piattaforma sanitaria è sicura
Cosa fare in caso di violazione dei tuoi dati sanitari
Consigli pratici per proteggere i tuoi dati sanitari
Il ruolo del Fascicolo Sanitario Elettronico nella protezione dei dati
Conclusione
Leggi anche
Non aspettare settimane per un appuntamento

Ogni volta che prenoti una visita online, invii un referto via email, scarichi un'app per la salute o scrivi al tuo medico su una piattaforma digitale, stai condividendo dati sanitari — la categoria di informazioni personali più delicata che esista. Ma sai davvero chi li custodisce, come vengono usati e quali diritti hai? In Italia, la protezione dei dati sanitari è regolata da un sistema normativo rigoroso che pochi conoscono fino in fondo. Questa guida ti spiega tutto quello che devi sapere per proteggere le tue informazioni mediche nel mondo digitale.

Cosa sono i dati sanitari e perché sono speciali

Il GDPR (Regolamento UE 2016/679) definisce i dati relativi alla salute come informazioni riguardanti lo stato di salute fisica o mentale di una persona, incluse le prestazioni di assistenza sanitaria ricevute. In termini pratici, sono dati sanitari:

Diagnosi, referti medici, risultati di esami e analisi
Prescrizioni farmacologiche e piani terapeutici
Cartella clinica e storia medica
Informazioni su allergie, patologie croniche, interventi chirurgici
Dati biometrici e genetici quando usati per finalità sanitarie
Comunicazioni con il medico che contengono informazioni sulla salute
Dati raccolti da app di salute e dispositivi medici connessi (smartwatch, glucometri, ecc.)

Il GDPR li classifica come "dati di categoria particolare" (articolo 9), sottoponendoli a un regime di protezione rafforzato rispetto ai dati personali comuni. La ragione è semplice: la divulgazione non autorizzata di dati sanitari può causare discriminazione, stigma sociale, danni economici (assicurazioni, lavoro) e sofferenza personale.

Come paziente, hai diritti precisi e azionabili sui tuoi dati sanitari. Conoscerli è il primo passo per proteggerti:

Diritto di accesso (art. 15)

Hai il diritto di sapere quali dati sanitari vengono trattati su di te, da chi, per quali finalità e per quanto tempo vengono conservati. Puoi richiedere una copia completa dei tuoi dati a qualsiasi soggetto che li detiene: medico, ospedale, piattaforma digitale, laboratorio di analisi.

Diritto di rettifica (art. 16)

Se i tuoi dati sanitari contengono errori — un'allergia registrata erroneamente, una diagnosi sbagliata, un nome scritto male — hai diritto alla correzione immediata.

Diritto alla cancellazione (art. 17)

Puoi chiedere la cancellazione dei tuoi dati sanitari quando non sono più necessari per le finalità per cui sono stati raccolti. Attenzione: questo diritto ha importanti limitazioni in ambito sanitario. I medici e le strutture sono obbligati a conservare la documentazione clinica per almeno 10 anni (in alcuni casi illimitatamente), quindi la cancellazione non è sempre possibile.

Diritto alla portabilità (art. 20)

Puoi richiedere i tuoi dati sanitari in un formato strutturato e leggibile per trasferirli a un altro medico o piattaforma. Questo è particolarmente utile quando cambi medico di base o struttura sanitaria.

Diritto di opposizione (art. 21)

Puoi opporti al trattamento dei tuoi dati sanitari per finalità diverse dalla cura — ad esempio, per ricerca scientifica, marketing sanitario o profilazione.

Diritto di limitazione (art. 18)

In determinate circostanze, puoi chiedere che il trattamento dei tuoi dati sia temporaneamente sospeso — ad esempio, se contesti l'esattezza dei dati o se ritieni che il trattamento sia illecito.

Chi può accedere ai tuoi dati sanitari

La normativa italiana stabilisce con precisione chi ha diritto di accedere ai dati sanitari di un paziente:

Il medico curante: ha accesso completo ai dati necessari per la cura
Specialisti e strutture sanitarie: limitatamente alle prestazioni erogate e con il tuo consenso
Il Servizio Sanitario Nazionale: per finalità amministrative e di programmazione sanitaria, in forma anonimizzata o pseudonimizzata
L'INPS: per la gestione dei certificati di malattia e delle prestazioni previdenziali
Il datore di lavoro: mai. Il datore di lavoro non ha diritto di conoscere la diagnosi; riceve solo il certificato di malattia con le date di assenza
Le compagnie assicurative: solo con il tuo consenso esplicito e specifico, e limitatamente a quanto necessario per la valutazione del rischio
L'autorità giudiziaria: con ordine del giudice, in procedimenti penali o civili

Nessun altro — familiari inclusi (salvo delega esplicita) — ha diritto di accedere ai tuoi dati sanitari senza il tuo consenso.

Privacy e dati sanitari online: i rischi più comuni

La digitalizzazione della sanità ha portato enormi vantaggi, ma anche nuovi rischi per la privacy dei dati sanitari online:

App di salute e wellness

Molte app per il monitoraggio della salute (contapassi, tracker del sonno, app per il ciclo mestruale, diari alimentari) raccolgono dati che sono tecnicamente sanitari, ma spesso li trattano con standard di sicurezza insufficienti. I rischi includono:

Condivisione con terze parti: molte app gratuite vendono dati aggregati a broker o aziende farmaceutiche
Server fuori dall'UE: i dati potrebbero essere conservati in paesi con normative sulla privacy meno stringenti
Mancanza di crittografia: i dati potrebbero essere intercettabili o accessibili in caso di violazione

Comunicazione non sicura con il medico

Come abbiamo approfondito nel nostro articolo su WhatsApp e il medico, usare chat generiche per scambiare informazioni sanitarie espone i dati a rischi significativi: backup non crittografati, condivisione di metadati con aziende terze, assenza di tracciabilità formale.

Portali sanitari con autenticazione debole

Alcuni portali di prenotazione o consultazione dei referti utilizzano ancora sistemi di autenticazione deboli (password semplici, assenza di autenticazione a due fattori), rendendo gli account vulnerabili ad accessi non autorizzati.

Phishing sanitario

Le email di phishing a tema sanitario sono in aumento: falsi avvisi del SSN, finte conferme di prenotazione, richieste di aggiornamento dati su portali clonati. Il settore sanitario è il terzo più colpito da attacchi informatici in Italia, secondo il rapporto Clusit 2025.

Come verificare se una piattaforma sanitaria è sicura

Quando scegli una piattaforma digitale per comunicare con il medico, gestire i tuoi dati sanitari o prenotare visite, verifica questi elementi:

Informativa privacy: deve essere chiara, specifica e indicare il titolare del trattamento, le finalità, la base giuridica, i tempi di conservazione e i tuoi diritti. Diffida di informative vaghe o assenti
Crittografia: i dati devono essere crittografati sia in transito (HTTPS) che a riposo (crittografia dei database). Le piattaforme serie lo dichiarano esplicitamente
Server in UE: per i dati sanitari, la conservazione su server nell'Unione Europea è fortemente raccomandata. Il trasferimento extra-UE richiede garanzie aggiuntive (Clausole Contrattuali Standard, adequacy decision)
Autenticazione forte: la piattaforma dovrebbe supportare l'autenticazione a due fattori (2FA) o, meglio ancora, SPID/CIE per l'identificazione certa
Data Processing Agreement (DPA): se la piattaforma tratta dati per conto del medico, deve esistere un accordo formale sul trattamento dei dati
Nessuna cessione a terzi: i tuoi dati sanitari non devono essere venduti, condivisi o utilizzati per finalità di marketing senza il tuo consenso esplicito

HeyDottore, ad esempio, è stata progettata con questi principi di sicurezza come fondamento: crittografia dei dati sanitari, server nell'Unione Europea, nessuna condivisione con terze parti e piena conformità al GDPR per i dati di categoria particolare.

Cosa fare in caso di violazione dei tuoi dati sanitari

Se sospetti che i tuoi dati sanitari siano stati violati, compromessi o usati in modo improprio, ecco i passi da seguire:

Documenta la violazione: screenshot, email, comunicazioni ricevute — raccogli tutto
Contatta il titolare del trattamento: il medico, la struttura sanitaria o la piattaforma che detiene i tuoi dati. Hanno l'obbligo di rispondere entro 30 giorni
Segnala al Garante Privacy: puoi presentare un reclamo al Garante per la Protezione dei Dati Personali attraverso il sito garanteprivacy.it. La procedura è gratuita
Cambia le credenziali: se la violazione riguarda un account online, modifica immediatamente la password e attiva l'autenticazione a due fattori
Monitora: nei mesi successivi, presta attenzione a comunicazioni sospette, tentativi di phishing o accessi anomali ai tuoi account sanitari

Consigli pratici per proteggere i tuoi dati sanitari

Oltre a conoscere i tuoi diritti, ecco alcune buone pratiche quotidiane:

Password uniche e complesse: usa password diverse per ogni servizio sanitario e mai la stessa del tuo account email
Autenticazione a due fattori: attivala ovunque sia disponibile, soprattutto per il Fascicolo Sanitario Elettronico e i portali sanitari
Non condividere dati sanitari sui social: foto di referti, post su diagnosi, commenti sulla tua salute — tutto questo diventa un dato pubblico e permanente
Usa piattaforme dedicate: per comunicare con il medico, preferisci piattaforme progettate per i dati sanitari rispetto a chat generiche. Su HeyDottore i tuoi messaggi e documenti sono protetti con standard di sicurezza adeguati ai dati medici
Leggi le informative: prima di registrarti su un'app o piattaforma sanitaria, leggi (almeno) chi tratta i tuoi dati, dove li conserva e se li condivide con terzi
Richiedi la cancellazione: se non usi più un servizio sanitario digitale, esercita il tuo diritto alla cancellazione dei dati
Attenzione al WiFi pubblico: non accedere a portali sanitari o inviare dati medici tramite reti WiFi non protette

Il ruolo del Fascicolo Sanitario Elettronico nella protezione dei dati

Il Fascicolo Sanitario Elettronico (FSE 2.0), in fase di completamento in tutta Italia, rappresenta un passo avanti importante per la gestione sicura dei dati sanitari digitali. Il FSE:

È gestito dalle Regioni sotto la supervisione del Ministero della Salute
Utilizza standard di sicurezza elevati e autenticazione tramite SPID o CIE
Permette al paziente di controllare chi accede ai propri dati e di revocare l'accesso
Non contiene dati accessibili al datore di lavoro o alle compagnie assicurative
È soggetto alla vigilanza del Garante Privacy

L'attivazione del FSE è fortemente raccomandata: è il modo più sicuro per avere una visione completa della tua storia sanitaria, accessibile a te e ai medici che ti curano, con le garanzie della pubblica amministrazione.

Conclusione

I tuoi dati sanitari sono tra le informazioni più personali che possiedi. In un mondo sempre più digitale, proteggerli non è paranoia: è buon senso. La normativa italiana ed europea offre un quadro di protezione solido, ma funziona solo se conosci i tuoi diritti e fai scelte consapevoli sugli strumenti che usi.

Quando comunichi con il tuo medico online, scegli piattaforme che mettano la sicurezza dei dati sanitari al primo posto. Con HeyDottore, puoi scrivere al tuo medico sapendo che le tue informazioni sono protette da crittografia di livello medico, senza condivisione con terze parti e nel pieno rispetto del GDPR. Perché prenderti cura della tua salute digitale è importante quanto prenderti cura della tua salute fisica.

Domande Frequenti

Chi può accedere ai miei dati sanitari?

Hanno accesso ai tuoi dati sanitari: il tuo medico curante, gli specialisti e le strutture sanitarie che ti curano (con il tuo consenso), il SSN per finalità amministrative in forma anonimizzata e l'INPS per i certificati di malattia. Il datore di lavoro non ha mai diritto di conoscere la diagnosi. Le compagnie assicurative possono accedervi solo con il tuo consenso esplicito. I familiari non hanno diritto di accesso senza tua delega.

Posso chiedere la cancellazione dei miei dati sanitari?

Puoi esercitare il diritto alla cancellazione previsto dall'art. 17 del GDPR, ma in ambito sanitario ci sono limitazioni importanti: la documentazione clinica deve essere conservata per almeno 10 anni per legge. Puoi però chiedere la cancellazione dei dati da app, piattaforme digitali e servizi non più utilizzati, e opporti all'uso dei tuoi dati per finalità diverse dalla cura.

Come verifico se una piattaforma sanitaria è sicura?

Verifica questi elementi: informativa privacy chiara con indicazione del titolare del trattamento; crittografia dei dati in transito e a riposo; server localizzati nell'Unione Europea; supporto per l'autenticazione a due fattori; assenza di condivisione dati con terze parti per finalità di marketing. Diffida di piattaforme con informative vaghe o che richiedono accesso a dati non necessari.

Cosa fare se i miei dati sanitari vengono violati?

Documenta la violazione con screenshot ed evidenze, contatta il titolare del trattamento (medico, struttura o piattaforma) che deve rispondere entro 30 giorni, presenta un reclamo gratuito al Garante Privacy su garanteprivacy.it, cambia immediatamente le credenziali degli account coinvolti e monitora comunicazioni sospette nei mesi successivi.

Le app di salute sono sicure per i miei dati?

Non tutte. Molte app gratuite di monitoraggio della salute raccolgono dati che tecnicamente sono sanitari ma li trattano con standard insufficienti, vendendo dati aggregati a terze parti o conservandoli su server fuori dall'UE. Prima di usare un'app di salute, leggi l'informativa privacy, verifica dove vengono conservati i dati e se vengono condivisi con aziende terze.

Hai bisogno di un consulto medico?

Parla con un medico online su HeyDottore. Veloce, sicuro e senza attese.

Prenota un consulto