campagne di prevenzione studio medico

Garante Privacy 2026: le strutture sanitarie sotto la lente

17 Febbraio 2026
, , , News

Il Garante per la Protezione dei Dati Personali ha pubblicato il piano delle attività ispettive per il primo semestre 2026. Tra i settori prioritari figura esplicitamente la sanità, con particolare attenzione al dossier sanitario elettronico, ai profili di accesso ai dati clinici e alla gestione dei data breach. Per studi medici e poliambulatori privati, ignorare questi segnali rischia di trasformarsi in una sanzione che può arrivare a decine o centinaia di migliaia di euro.

Cosa prevede il piano ispettivo 2026

Il Garante ha pianificato almeno 40 attività ispettive nel primo semestre 2026, ripartite tra controlli d’ufficio, ispezioni a seguito di segnalazioni e verifiche su settori ritenuti ad alto rischio per i diritti degli interessati.

Il settore sanitario rientra esplicitamente tra le aree prioritarie. Le verifiche si concentreranno su tre ambiti:

Dossier sanitario e profili di accesso. Il Garante intende verificare che l’accesso ai dati clinici dei pazienti avvenga nel pieno rispetto dei principi di necessità e minimizzazione: solo il personale che ha una relazione di cura diretta con il paziente dovrebbe poter consultare i suoi dati. L’accesso indiscriminato da parte di personale amministrativo o di professionisti non coinvolti nella cura è una delle violazioni più frequentemente rilevate.

Traceability degli accessi. Le strutture devono essere in grado di dimostrare chi ha avuto accesso a quali dati, quando e per quale motivo. L’assenza di log o la loro incompletezza è stata già sanzionata in passato.

Gestione dei data breach. Il Garante verificherà che le strutture segnalino tempestivamente (entro 72 ore) le violazioni di dati ai sensi dell’art. 33 GDPR e che le misure di rimedio adottate siano concrete e documentate.

Sanzioni già comminate nel 2025

I provvedimenti del 2025 mostrano che il Garante non esita a sanzionare le strutture sanitarie, anche pubbliche:

  • Con il provvedimento n. 243 del 29 aprile 2025, la Regione Lombardia ha ricevuto una sanzione di 50.000 euro per violazioni nella gestione del dossier sanitario.
  • Con il provvedimento n. 474 del 4 agosto 2025, l’Azienda Ospedaliero-Universitaria Careggi di Firenze è stata sanzionata con 80.000 euro per l’illiceità del trattamento tramite il proprio dossier sanitario.

Questi importi si riferiscono a strutture pubbliche — per le strutture private il parametro di proporzionalità è diverso, ma l’orientamento del Garante è chiaro.

Cosa deve fare una struttura sanitaria privata

In vista di una possibile ispezione, le azioni prioritarie per studi medici e poliambulatori sono:

  1. Verificare il registro dei trattamenti. Il GDPR art. 30 obbliga le strutture con più di 250 dipendenti (e comunque quelle che trattano dati sanitari su larga scala) a tenere un registro aggiornato dei trattamenti. Verificare che sia completo e allineato alle attività reali.
  2. Controllare i profili di accesso degli utenti. Chi può accedere ai dati dei pazienti? Il personale di reception ha lo stesso accesso del medico specialista? I permessi devono riflettere il principio del “need to know”: ogni operatore deve poter vedere solo ciò che è necessario al suo ruolo.
  3. Documentare la raccolta dei consensi. In caso di ispezione, la struttura deve dimostrare che ogni trattamento ha una base giuridica. Per i trattamenti facoltativi (marketing, comunicazioni promozionali), il consenso deve essere documentato in anagrafica e rispettato nelle comunicazioni operative.
  4. Avere una procedura per i data breach. La gestione di un incidente (furto di un laptop, accesso non autorizzato al gestionale, email inviata al destinatario sbagliato) deve essere codificata: chi valuta, chi notifica il Garante, quali rimedi adottare.

Come DBMedica supporta la conformità GDPR

La conformità non è uno stato che si raggiunge una volta: è un processo continuativo che richiede strumenti in grado di rendere visibili e gestibili le dinamiche quotidiane del trattamento dei dati.

DBMedica dispone di un sistema permessi granulare con oltre 55 permessi configurabili, che consente di assegnare a ogni utente esattamente le funzionalità necessarie al suo ruolo — niente di più. Un receptionist può gestire gli appuntamenti senza poter accedere alle cartelle cliniche; un medico può vedere solo i pazienti della propria agenda senza visualizzare i dati degli altri professionisti. Questo controllo granulare è la risposta tecnica al principio di minimizzazione dell’accesso che il Garante verifica nelle ispezioni.

Sul fronte dei consensi, DBMedica integra un sistema di gestione delle informative GDPR che documenta in anagrafica lo stato di ogni consenso: quale informativa è stata firmata, quando, se è ancora valida. In caso di ispezione, la struttura può dimostrare in pochi secondi la base giuridica di ogni trattamento.

Richiedi una demo gratuita di DBMedica per vedere come il sistema di permessi e la gestione dei consensi possono mettere la tua struttura in una posizione solida rispetto alle verifiche del Garante.

patient experience

NIS2 2026: gli obblighi di cybersecurity per poliambulatori

5 Febbraio 2026
, , News

Il D.Lgs. 138/2024 ha recepito in Italia la direttiva europea NIS2 (Network and Information Security), estendendo gli obblighi di sicurezza informatica al settore sanitario privato. Poliambulatori, centri medici specialistici e strutture private di dimensione media che gestiscono dati sanitari digitali rientrano nell’ambito di applicazione. Le scadenze operative partono già dal 2026.

Cosa prevede la direttiva NIS2

La direttiva europea 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 138/2024, introduce obblighi strutturati di gestione del rischio informatico per le organizzazioni che operano in settori considerati critici o importanti per il funzionamento del Paese. La sanità è esplicitamente inclusa tra questi settori.

L’impianto della NIS2 si basa su due pilastri:

  • Misure di sicurezza tecniche e organizzative, che coprono crittografia, controllo degli accessi, backup, risposta agli incidenti, sicurezza della supply chain IT.
  • Obbligo di notifica degli incidenti significativi all’autorità nazionale competente (il CSIRT Italia, gestito dall’ACN — Agenzia per la Cybersicurezza Nazionale), entro 24 ore dalla rilevazione di un incidente grave.

Chi è coinvolto nel settore sanitario privato

La NIS2 non riguarda il singolo medico in libera professione né il piccolo studio monoprofessionale. I soggetti coinvolti sono le organizzazioni che superano determinate soglie dimensionali:

  • Soggetti importanti: strutture con 50-249 dipendenti o fatturato tra 10 e 50 milioni di euro annui
  • Soggetti essenziali: strutture con 250 o più dipendenti o fatturato superiore a 50 milioni di euro annui

Nella pratica, poliambulatori multi-specialistici strutturati, centri diagnostici privati, gruppi medici associati con più sedi e strutture private accreditate con il SSN che operano su larga scala rientrano frequentemente nella prima categoria. Le strutture più grandi (ospedali privati, grandi cliniche) nella seconda.

Chi non supera queste soglie non è soggetto direttamente agli obblighi NIS2, ma rimane comunque tenuto al rispetto del GDPR per la protezione dei dati sanitari.

Le scadenze del 2026

Registrazione ACN (già scaduta il 28 febbraio 2026): i soggetti già identificati come rientranti nella NIS2 dovevano confermare o aggiornare la loro registrazione sulla piattaforma ACN entro il 28 febbraio 2026. I soggetti di nuova identificazione che ancora non si sono registrati devono procedere il prima possibile.

Notifica degli incidenti (operativa dal 15 gennaio 2026): dal 15 gennaio 2026 è pienamente operativo il regime obbligatorio di notifica al CSIRT Italia degli incidenti informatici significativi, entro 24 ore dalla rilevazione.

Implementazione misure di sicurezza: gli obblighi tecnici e organizzativi devono essere assolti entro 18 mesi dalla notifica ufficiale di inserimento nell’elenco dei soggetti NIS da parte di ACN.

Cosa fare in pratica

Le strutture sanitarie private che rientrano nell’ambito NIS2 devono affrontare un percorso di adeguamento articolato:

  1. Verificare se si rientra nell’ambito. Il primo passo è una valutazione interna basata su numero di dipendenti e fatturato annuo. Se si supera una delle due soglie per la categoria “soggetti importanti”, la struttura è soggetta alla NIS2.
  2. Completare la registrazione ACN. La piattaforma di registrazione dell’Agenzia per la Cybersicurezza Nazionale è il punto di ingresso formale nel regime NIS2. Le strutture già identificate che non hanno ancora completato il rinnovo 2026 devono farlo urgentemente.
  3. Effettuare una gap analysis. Confrontare lo stato attuale della sicurezza informatica della struttura con i requisiti NIS2: crittografia dei dati a riposo e in transito, autenticazione multi-fattore, segregazione degli accessi, backup e test di ripristino, procedure di incident response.
  4. Adeguare i sistemi e i processi. Gli interventi tipici includono: aggiornamento delle politiche di accesso ai sistemi informativi, implementazione di sistemi di monitoraggio degli eventi di sicurezza, formalizzazione dei piani di continuità operativa e disaster recovery, verifica dei fornitori IT (supply chain security).
  5. Formare il personale. La NIS2 include tra le misure obbligatorie la formazione sulla cybersecurity per chi ha accesso a sistemi critici, incluso il personale amministrativo che gestisce dati di pazienti.

Perché il settore sanitario è un obiettivo privilegiato

I dati sanitari sono tra le informazioni più sensibili e preziose sul mercato criminale. Una cartella clinica contiene dati anagrafici, condizioni di salute, terapie, dati di pagamento — un profilo completo della persona che vale molto di più di un semplice numero di carta di credito. Le strutture sanitarie, spesso sotto pressione operativa e con sistemi IT non aggiornati, sono un bersaglio frequente di ransomware e data breach.

Adeguarsi alla NIS2 non è solo un obbligo normativo: è una risposta concreta a un rischio reale che, in caso di incidente, può comportare l’interruzione dell’operatività clinica, sanzioni amministrative fino all’1,4% del fatturato annuo globale (per soggetti importanti), e un grave danno reputazionale verso i pazienti.

Come DBMedica contribuisce alla sicurezza dei dati sanitari

Un gestionale medico è uno dei sistemi più critici nella catena di protezione dei dati sanitari: aggrega le informazioni cliniche di tutti i pazienti, gestisce gli accessi di operatori con ruoli diversi e produce i documenti che alimentano il FSE. DBMedica è stato progettato tenendo conto di questo ruolo:

Crittografia dei dati clinici a riposo

Le cartelle cliniche digitali in DBMedica sono crittografate a riposo. I dati delle cartelle non sono accessibili in chiaro nemmeno a chi avesse accesso diretto al database, un requisito fondamentale per qualsiasi struttura che debba dimostrare conformità agli obblighi di protezione dei dati.

Sistema di permessi granulare

DBMedica implementa un sistema di controllo degli accessi con oltre 55 permessi configurabili e ruoli personalizzabili. Ogni utente del sistema — medico, segretario, responsabile amministrativo, operatore di cassa — vede e può fare solo ciò che la struttura ha esplicitamente autorizzato. Questo riduce drasticamente la superficie di esposizione: un operatore di segreteria non può accedere alle cartelle cliniche se non abilitato, e un medico non può esportare i dati contabili se non autorizzato.

Gestione multi-sede con configurazione separata

Per le strutture multi-sede che rientrano nella NIS2, DBMedica gestisce ogni sede come un’entità con configurazione indipendente: utenti, permessi, listini e dati sono separati per sede. Questo favorisce una corretta segmentazione dei dati e degli accessi, principio cardine della sicurezza NIS2.

L’adeguamento è un investimento, non solo un costo

Le strutture che si adeguano alla NIS2 non lo fanno solo per evitare sanzioni: costruiscono un’infrastruttura più resiliente, riducono il rischio di interruzioni operative causate da attacchi informatici e rafforzano la fiducia dei pazienti nella gestione dei propri dati. Richiedi una demo gratuita di DBMedica per scoprire come il gestionale contribuisce alla sicurezza e alla conformità della tua struttura sanitaria.

centralino ai comunicazioni telefoniche

Ricette bianche digitali 2026: cosa devono fare gli specialisti

27 Gennaio 2026
, , News

Dal 1° gennaio 2025 la ricetta bianca — quella con cui medici e specialisti prescrivono farmaci non a carico del SSN — dovrebbe essere emessa in formato elettronico, tramite il sistema di dematerializzazione del Ministero dell’Economia. In un chiarimento pubblicato nel gennaio 2026, ANDI ha confermato l’obbligo per gli odontoiatri, pur riconoscendo che permangono aree di incertezza per i liberi professionisti senza rapporti contrattuali con il SSN. Ecco cosa sappiamo con certezza e cosa devono fare gli studi nel 2026.

Dalla proroga all’obbligo: il percorso della dematerializzazione

La dematerializzazione delle prescrizioni mediche in Italia ha avuto un percorso lungo. Le ricette rosse (a carico del SSN) sono digitali da oltre un decennio. Le ricette bianche (farmaci a carico del paziente) sono rimaste cartacee molto più a lungo, con una transizione progressiva.

Il Decreto Milleproroghe 2026 (L. 26/2026) ha consolidato il regime permanente per la ricetta dematerializzata, rimuovendo l’ultima veste transitoria e confermando la digitalizzazione come standard definitivo del sistema prescrittivo nazionale.

Dal 1° febbraio 2026 è inoltre entrata in vigore una modifica alla validità delle ricette dematerializzate ripetibili: il medico può ora emettere una ricetta valida fino a 12 mesi per terapie croniche, con erogazione di una confezione alla volta da parte del farmacista. Una semplificazione concreta per i pazienti con patologie croniche che riduce la necessità di tornare periodicamente dallo specialista solo per il rinnovo della prescrizione.

Chi è obbligato: la posizione di ANDI per gli odontoiatri

Il punto più delicato riguarda i professionisti che operano esclusivamente in regime privato, senza alcun rapporto contrattuale con il SSN. Nel suo chiarimento di gennaio 2026, ANDI ha confermato che gli odontoiatri sono soggetti all’obbligo di dematerializzazione, pur segnalando che permangono interpretazioni diverse sul caso specifico del libero professionista puro (senza convenzioni SSN).

La posizione pratica consigliata da ANDI ai propri iscritti è adottare la ricetta digitale come prassi standard per tutti i pazienti, indipendentemente dall’interpretazione normativa, sia per conformarsi all’obbligo ormai consolidato sia per evitare contestazioni future.

Per i medici specialisti privati (cardiologi, ortopedici, dermatologi, ecc.) che emettono ricette bianche per farmaci non mutuabili, la situazione è analoga: la dematerializzazione è l’indirizzo normativo chiaro, e i sistemi tecnici per farlo sono già disponibili e funzionanti.

Come funziona tecnicamente la ricetta bianca digitale

Il processo di emissione di una ricetta bianca dematerializzata si svolge tramite il sistema del Ministero dell’Economia (portale Sistema Tessera Sanitaria):

  1. Il medico accede al portale con le proprie credenziali (codice fiscale + PIN fornito dall’ASL o dall’Ordine professionale di riferimento).
  2. Inserisce i dati del paziente (codice fiscale), il farmaco prescritto (denominazione o principio attivo, dosaggio, numero confezioni), e le eventuali indicazioni.
  3. Il sistema genera un NRE (Numero di Ricetta Elettronica) univoco, che il paziente può esibire in farmacia digitalmente o tramite un promemoria cartaceo.
  4. Il farmacista legge il NRE nel proprio sistema, eroga il farmaco e chiude la ricetta nel database ministeriale.

La complessità tecnica del processo è gestita dal portale ministeriale, non dal gestionale dello studio. Il gestionale ha un ruolo di supporto: consente di tenere traccia delle prescrizioni emesse all’interno della cartella clinica del paziente, integrando la prescrizione con la visita e il piano terapeutico.

Cosa fare entro il 2026

Per gli studi che non hanno ancora attivato la ricetta dematerializzata, i passi da seguire sono:

  1. Richiedere le credenziali di accesso al portale TS. Il medico che non ha ancora ricevuto PIN e codice di accesso al sistema prescrittivo deve richiederlo alla propria ASL di competenza o all’Ordine professionale. La procedura è gratuita e richiede pochi giorni.
  2. Testare il sistema prima del pieno utilizzo. Prima di emettere le prime ricette digitali ai pazienti, è utile familiarizzare con il portale — inserire dati di prova e verificare la generazione del NRE.
  3. Informare i pazienti. Molti pazienti anziani non sono abituati alla ricetta digitale. Spiegare brevemente che riceveranno un codice (NRE) o un promemoria da mostrare in farmacia — anziché il foglio fisico — evita confusione all’accettazione.
  4. Collegare le prescrizioni alla cartella clinica. La best practice è documentare ogni prescrizione anche nel gestionale, associandola alla visita e al piano terapeutico del paziente. Questo consente di avere uno storico completo e di rispondere con precisione in caso di follow-up o contestazione.
  5. Verificare la procedura per le ricette ripetibili a 12 mesi. La nuova validità estesa è una semplificazione per i pazienti cronici, ma richiede che il medico configuri correttamente il numero di erogazioni previste e la periodicità al momento dell’emissione.

Come DBMedica integra la gestione delle prescrizioni

DBMedica supporta la gestione delle prescrizioni all’interno del flusso clinico, con un approccio integrato rispetto alla cartella del paziente:

Ricette SSN multi-regionali

Il modulo Ricette di DBMedica gestisce le prescrizioni SSN con supporto multi-regionale (Lombardia, Emilia-Romagna, Marche e altre regioni supportate). Le ricette SSN emesse dal medico vengono registrate direttamente nel sistema, con accesso tramite i permessi dedicati (recipes:readrecipes:manage). Questo copre il flusso prescrittivo per le strutture convenzionate.

Prescrizioni nella cartella clinica

All’interno della cartella clinica digitale, DBMedica include la sezione Prescrizioni, dove il medico può registrare tutte le terapie prescritte al paziente — farmaci, esami, fisioterapia — con data, descrizione e note cliniche. Questo crea uno storico prescrittivo completo associato alla visita, indipendentemente dal canale di emissione della ricetta (portale TS, sistema SSN, o prescrizione per prestazioni specialistiche).

Richieste di esami

Oltre alle prescrizioni farmacologiche, DBMedica gestisce le Richieste di Esami all’interno della cartella clinica: il medico registra la richiesta, e il paziente la riceve in PDF firmato. Questo flusso è utile sia per le richieste verso laboratori interni al poliambulatorio sia per le richieste verso strutture esterne.

Un adempimento che si inserisce in un contesto più ampio

La dematerializzazione delle ricette bianche non è un caso isolato: fa parte di un percorso di digitalizzazione del sistema sanitario nazionale che include FSE 2.0, fascicolo farmacologico, e integrazione delle informazioni cliniche tra strutture diverse. Per gli studi che si trovano a gestire contemporaneamente questi adempimenti, disporre di un gestionale strutturato che integra le diverse componenti — cartella clinica, prescrizioni, fatturazione, FSE — riduce significativamente il rischio di lacune operative. Richiedi una demo gratuita di DBMedica per vedere come questi flussi si integrano nella pratica quotidiana del tuo studio.

1 2 3 4 5 6