I dati sanitari sono categorie particolari ex art. 9 GDPR. Un cookie banner che lascia partire GA4 prima del consenso, su una pagina di prenotazione visita, è una violazione che il Garante sa già come sanzionare. Tuelia fa prior blocking vero — e, se serve, gira tutto on-prem.
Il GDPR all'art. 9(1) vieta espressamente il trattamento di "dati relativi alla salute" senza una base giuridica rafforzata. Il considerando 35 chiarisce che persino l'informazione di aver consultato la pagina di una specifica patologia è un dato sulla salute. Quando una clinica oncologica fa caricare Meta Pixel sulla pagina "Servizi di oncologia", l'IP del visitatore (dato personale) + URL della pagina (rivelativo di interesse per una patologia oncologica) viene inviato a Meta. Il Garante ha sanzionato strutture sanitarie italiane proprio per questo schema, applicando le linee-guida del 10 giugno 2021 nella loro forma più stringente.
A peggiorare le cose: in sanità il DPO è obbligatorio (Garante Provv. 81/2018 e linee guida art. 37 GDPR), il FSE è soggetto al Provv. Garante 7 marzo 2019 n. 55 che impone audit trail dettagliato, e dopo COVID-19 quasi ogni struttura sanitaria ha aggiunto telemedicina, prenotazioni online, app mobile — superfici di rischio moltiplicate. La maggior parte dei CMP "blocca" sostituendo type="text/plain" ai tag nel DOM: la prima richiesta GA4 parte comunque, perché GA4 inizializza prima che il banner finisca di disegnarsi.
In più, una struttura sanitaria moderna gestisce facilmente 3-10 domini: sito istituzionale, portale pazienti, app di prenotazione, sito del gruppo, microsite di campagne. Senza un audit log centralizzato e firmato, in ispezione non hai prova del consenso, e l'art. 7(1) GDPR ti chiede esattamente quella prova.
Costruiti sopra il GDPR art. 9 e i provvedimenti specifici del Garante.
Intercettiamo fetch, XHR, img.srce iframe prima dell'esecuzione. Zero richieste a GA4, Meta Pixel, Hotjar e affini su pagine sanitarie fino al consenso. Compatibile con le richieste del Garante per il trattamento di dati di salute.
Ogni consenso firmato HMAC, esportabile in PDF/CSV/JSON. Conservazione configurabile (compatibile con i 24 mesi standard del Garante). Pacchetto opponibile in ispezione, ex art. 5(2) e 7(1) GDPR.
Codebase installata nel datacenter dell'ente o in cloud privato sovrano. Zero sub-responsabili, allineato AgID e politiche post-Schrems II. Programma di partnership con contratto e SLA dedicati.
Gruppi sanitari internazionali: regole per EEA, UK, Svizzera (nFADP), pronto per LGPD/CPRA. Multi-utente con ruoli: DPO, IT, marketing — ognuno vede solo il proprio scope.
"È vietato trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona."
"Il Fascicolo Sanitario Elettronico, in ragione della peculiare natura dei dati ivi trattati, richiede l'adozione di specifiche misure di sicurezza, tra cui l'audit trail dettagliato, la cifratura e la separazione logica tra dati identificativi e dati sanitari."
"Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta le attività principali del titolare consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9."
Per ospedali, ASL, gruppi sanitari multi-sede e piattaforme di telemedicina raccomandiamo la modalità self-hosted. Le ragioni sono concrete: 1) i requisiti AgID sulla sovranità del dato sanitario, 2) il Provv. Garante 9/2019 sul FSE che chiede audit trail e separazione logica, 3) le policy post-Schrems II che molti enti hanno adottato sui trasferimenti extra-UE, 4) il rischio che, anche con DPA, l'esistenza stessa di sub-responsabili sia poco accettabile in audit interno.
Per cliniche piccole, ambulatori, studi medici singoli il piano Cloud Pro con DPA esteso e configurazione GCM v2 rigorosa è un compromesso accettabile, soprattutto se il sito è di vetrina e non contiene aree riservate paziente.
| Profilo | Raccomandazione | Perché |
|---|---|---|
| Ospedale, ASL, gruppo sanitario | Self-hosted partnership | Sovranità AgID, requisiti FSE, audit interno rigoroso |
| Piattaforma telemedicina / app medica | Self-hosted partnership | Trattamento dati salute su larga scala (art. 35 DPIA) |
| Clinica privata media (sito + portale) | Self-hosted o Cloud Agency | Dipende da architettura IT esistente |
| Ambulatorio, studio medico singolo | Cloud Pro con DPA | Sito vetrina, no aree paziente, scala ridotta |
Onestamente: non esiste una risposta unica. Quello che possiamo dirti è che molte sanzioni del Garante a strutture sanitarie negli ultimi anni sarebbero state evitate con prior blocking vero e audit log firmato. Indipendentemente da Cloud o self-hosted, è quella la differenza.
Default su denied per ad_storage, ad_user_data, ad_personalization su tutte le pagine sensibili, e Update solo se il visitatore presta consenso esplicito. Sulle pagine di vetrina (chi siamo, contatti generici) GCM v2 può funzionare normalmente. Il filtro lo configuri per pattern URL nel pannello.Per ospedali, ASL, gruppi sanitari e piattaforme di telemedicina il programma di partnership self-hosted è la strada più sicura. Scrivici due righe sulla tua infrastruttura: ti rispondiamo entro un giorno lavorativo con tempi, costi e una chiamata tecnica.