I dati dei pazienti sono la categoria di informazioni che il GDPR protegge più severamente, e per uno studio medico o dentistico la posta in gioco è concreta: le sanzioni per un trattamento illecito di dati sulla salute arrivano fino a 20 milioni di euro o al 4% del fatturato (art. 83 GDPR). Il punto, per una struttura, non è però diventare esperta di privacy, ma evitare che il proprio marketing si trasformi in un problema. Gli adempimenti strutturali, dal registro dei trattamenti alla nomina del responsabile della protezione dei dati, restano il terreno del consulente legale e del DPO; questa guida guarda invece al punto in cui la privacy incrocia la comunicazione e l’acquisizione dei pazienti, che è il terreno del marketing. Le regole generali del settore sono nella guida al marketing sanitario; qui vediamo dove il GDPR tocca concretamente il lavoro di uno studio.
La regola che governa tutto: cura senza consenso, marketing con consenso
Esiste una distinzione che, una volta compresa, chiarisce quasi ogni dubbio. Per le prestazioni di cura il professionista sanitario tenuto al segreto non deve richiedere il consenso privacy del paziente, dal momento che la base giuridica del trattamento è la finalità di cura stessa (art. 9, par. 2, lett. h, GDPR), come il Garante ha chiarito con il provvedimento del 7 marzo 2019. Nel momento in cui il trattamento esce dalla cura, però, quella base non opera più, e per qualunque finalità promozionale, di fidelizzazione o di comunicazione l’unico fondamento legittimo diventa il consenso esplicito del paziente (art. 9, par. 2, lett. a). Tradotto per il marketing, significa che tutto ciò che una struttura fa con i dati dei pazienti oltre a curarli richiede un consenso raccolto a parte, libero, specifico e revocabile.
Va aggiunta una precisazione che evita l’errore più comune: il consenso privacy per la cura non serve, ma il consenso informato all’atto medico o odontoiatrico (Legge 219/2017) resta sempre dovuto, poiché è un istituto diverso, che nella pratica di studio viene spesso confuso con quello privacy.
Email, newsletter e CRM: il consenso al marketing è separato
La conseguenza più diretta riguarda la comunicazione verso la lista pazienti. Una newsletter, un messaggio promozionale o un programma di richiamo non possono appoggiarsi al rapporto di cura, ma richiedono un consenso marketing raccolto separatamente, che non condizioni l’erogazione della prestazione e che il paziente possa revocare con facilità (Garante, 2019). Lo stesso principio vale per il CRM: se il sistema segmenta i pazienti per inviare comunicazioni promozionali, quella segmentazione tratta dati sanitari per una finalità diversa dalla cura, e va poggiata sullo stesso consenso esplicito, con una traccia documentata di quando e come è stato raccolto. È il motivo per cui, quando aiutiamo una struttura a scegliere e configurare il CRM per la sanità, la gestione dei consensi è parte del progetto e non un dettaglio da sistemare dopo.
Il sito: form di prenotazione e tracciamento
Il sito di uno studio è il secondo luogo in cui la privacy incrocia il marketing. Sui form di contatto e di prenotazione il Garante, nel compendio del 2024 dedicato alle piattaforme che mettono in contatto pazienti e professionisti, è esplicito: la base giuridica della prenotazione è il consenso, e per ogni finalità ulteriore, il marketing in primo luogo, serve un consenso distinto per ciascuna finalità. In pratica questo si traduce in un’informativa chiara e accessibile, in caselle non pre-selezionate e nel consenso marketing come opzione separata, mai obbligatoria per prenotare.
Sul tracciamento vale il quadro delle linee guida cookie del Garante del 2021: i cookie tecnici richiedono la sola informativa, mentre quelli di profilazione richiedono un consenso preventivo, con un banner che offra il rifiuto con la stessa evidenza dell’accettazione e senza forzature come lo scrolling o i cookie wall. Un punto merita attenzione, perché viene spesso raccontato in modo scorretto: nel 2022 il Garante aveva contestato l’uso di Google Analytics per il trasferimento di dati verso gli Stati Uniti, ma dal luglio 2023 quel trasferimento è coperto dall’accordo EU-US Data Privacy Framework, a cui Google aderisce. Presentare oggi Google Analytics come “illegale” è quindi impreciso, e la lettura corretta è che lo strumento è utilizzabile con il contratto adeguato e l’anonimizzazione dell’indirizzo IP, mentre il quadro resta soggetto a un contenzioso ancora aperto e per uno studio sanitario può avere senso valutare strumenti di analisi con server europei come misura di prudenza. Vale infine come buona pratica non tracciare i percorsi del sito che rivelano la prestazione cercata da un singolo utente, perché un’informazione di questo tipo può avvicinarsi a un dato sulla salute.
Recensioni, testimonianze, foto e prima e dopo: il doppio binario
Il terreno più delicato per il marketing di uno studio è l’uso promozionale di ciò che riguarda un paziente identificabile: una recensione con nome e cognome, una testimonianza, una foto, un video, un prima e dopo. Anche l’immagine, se la persona è riconoscibile, è un dato sulla salute, e la sua diffusione a fini promozionali esce dalla cura, per cui l’unico fondamento è il consenso esplicito, scritto, specifico e revocabile, che indichi con chiarezza dove e per quanto tempo il contenuto sarà pubblicato. Che la posta sia reale lo mostra un caso concreto: nel gennaio 2024 il Garante ha sanzionato un centro di medicina estetica per aver pubblicato su Instagram, senza un consenso adeguato, un video di trentaquattro secondi in cui era riconoscibile il volto di un paziente durante una procedura.
Qui, però, va tenuto distinto un secondo piano, ed è la distinzione che quasi nessuno fa. Il consenso del paziente risolve il problema sul versante privacy, ma non su quello deontologico: la normativa sulla pubblicità sanitaria, con l’art. 1, comma 525, della Legge 145/2018 come modificato nel 2023, esclude gli elementi attrattivi e suggestivi, e su questo piano una testimonianza costruita o un prima e dopo restano esposti anche quando il consenso privacy è perfetto. La recensione autentica e spontanea del paziente è generalmente ammessa, mentre l’uso attivo di testimonial e di immagini del risultato è un terreno di rischio, come approfondiamo a proposito della comunicazione sanitaria. Il consenso richiesto dal GDPR, in altre parole, è condizione necessaria ma non sufficiente.
Il perimetro strutturale, in breve
Attorno a questi temi di marketing esiste un perimetro strutturale che non è compito di un’agenzia, ma che è utile conoscere perché lo studio non lo sottovaluti. Anche uno studio di piccole dimensioni, trattando dati sanitari, è tenuto a mantenere il registro delle attività di trattamento, a differenza di quanto si crede appellandosi alla soglia dei dipendenti; le strutture più grandi, come i poliambulatori e le catene, possono ricadere nell’obbligo di nominare un responsabile della protezione dei dati e di condurre una valutazione d’impatto; e chiunque subisca una violazione dei dati deve valutarne la notifica al Garante entro settantadue ore. Sono adempimenti che competono al consulente legale e al responsabile della protezione dei dati della struttura, non al marketing, ed è a loro che vanno indirizzati.
La conformità privacy, vista dal marketing, non è un vincolo da subire ma una componente della fiducia che una struttura costruisce: il paziente che affida i propri dati a chi li tratta con cura è lo stesso che affiderà la propria salute. Progettare la comunicazione e l’acquisizione dei pazienti dentro questo perimetro è il lavoro di un’agenzia che conosce la sanità, e distingue chi protegge la struttura da chi la espone.
Questa guida ha finalità informative sul rapporto tra marketing e protezione dei dati e non sostituisce il parere di un legale o la valutazione del responsabile della protezione dei dati della struttura, cui resta affidata la responsabilità della conformità.