Nel 2025 il Garante della Privacy ha multato 14 studi medici in Italia per violazioni GDPR, con sanzioni medie di €8.500. Il 60% delle multe ha riguardato dettagli che lo studio avrebbe potuto sistemare in 1 ora. Questa checklist copre i 17 punti che il Garante controlla davvero quando arriva una segnalazione.
Se rispondi “no” a più di 5 di questi punti, sei in zona rossa.
Quando usare questa checklist (e quando no)
Sì, se:
- Hai uno studio medico, dentistico o veterinario in Italia
- Raccogli dati pazienti via sito, WhatsApp, telefono o di persona
- Non hai mai fatto un audit GDPR strutturato
No, se:
- Sei una struttura ospedaliera con DPO interno (avete già processi più complessi)
- Hai già un audit GDPR firmato da un DPO certificato negli ultimi 12 mesi
La checklist (17 punti)
Sito web e cookie
- 1. Il cookie banner è conforme al modello Iubenda/Complianz aggiornato 2024-2025 (banner blocking, opt-in granulare per ogni categoria)
- 2. La Privacy Policy è specifica per il settore sanitario (cita categoria “dati particolari” ex art. 9 GDPR)
- 3. La Cookie Policy elenca puntualmente tutti i cookie attivi (anche quelli di Google Analytics, Maps, YouTube embed)
- 4. C’è un link “Gestisci preferenze cookie” sempre visibile in footer
Form e raccolta dati
- 5. Ogni form ha un checkbox di consenso esplicito (non pre-spuntato) con testo: “Ho letto la Privacy Policy e acconsento al trattamento dei dati…”
- 6. I dati sanitari sensibili (es. “motivo della visita: estrazione molare”) NON vengono raccolti via form web ma solo dopo conferma appuntamento
- 7. Il form invia conferma all’utente con copia dei dati raccolti
WhatsApp e canali messaggistica
- 8. Stai usando WhatsApp Business API (non WhatsApp Business standard) per le comunicazioni con i pazienti
- 9. I pazienti hanno firmato un consenso esplicito per ricevere comunicazioni via WhatsApp
- 10. Non invii diagnosi, prescrizioni o dati sanitari via WhatsApp standard (ok solo via WA Business + cifratura E2E garantita)
Documenti interni
- 11. Hai un Registro dei Trattamenti aggiornato (obbligatorio per chi tratta categorie particolari di dati)
- 12. Hai firmato un DPA (Data Processing Agreement) con ogni fornitore che tratta dati pazienti: gestionale, hosting sito, email provider, Calendly, WhatsApp Business provider
- 13. Hai una procedura scritta per gestire le data breach (cosa fare nei primi 72h)
- 14. Hai un DPO designato (interno o esterno) se tratti dati di oltre 500 pazienti/mese
Diritti del paziente
- 15. Il paziente sa come esercitare i suoi diritti (accesso, rettifica, cancellazione): istruzioni chiare in Privacy Policy
- 16. Hai un’email dedicata (es.
privacy@tuostudio.it) che risponde entro 30 giorni alle richieste - 17. I dati di pazienti che hanno chiesto la cancellazione vengono effettivamente eliminati (anche dal backup, entro 90 giorni)
Cosa controllare dopo aver compilato la checklist
- 0-3 NO: sei in regola. Mantieni l’audit ogni 6 mesi.
- 4-7 NO: hai aree da sistemare. Inizia dai punti 1, 5, 11, 12 (i più controllati).
- 8+ NO: zona rossa. Affronta seriamente la compliance — il rischio multa è concreto.
Strumenti che semplificano
- Iubenda o Complianz: cookie banner + privacy/cookie policy generata automaticamente (€27-€59/anno)
- 360dialog: WhatsApp Business API conforme GDPR (€10-€50/mese)
- compliance.skillaz: la nostra app dedicata che gestisce tutto in automatico (configurazione GDPR + DPA + registro trattamenti), pensata specificatamente per studi medici e veterinari
Disclaimer: questa checklist è un orientamento operativo, non una consulenza legale. Per casi complessi consulta un DPO certificato o un avvocato specializzato in privacy.