Nome utente
whatsapp

WhatsApp Business e GDPR sanitario: cartella clinica e prima copia gratuita

per 26 Febbraio 2026Non ci sono commenti

WhatsApp Business e GDPR sanitario: cosa cambia per la cartella clinica

WhatsApp Business e GDPR sanitario oggi si intrecciano sempre di più nella gestione digitale della cartella clinica e dei dati dei pazienti. WhatsApp Business e GDPR definiscono un nuovo perimetro di diritti, obblighi e processi che le aziende sanitarie non possono più ignorare.

La recente Sentenza CGUE C-307/22 ha confermato in modo definitivo che la prima copia dei dati personali contenuti nella cartella clinica è gratuita ai sensi dell’articolo 15 del GDPR (Regolamento UE 2016/679), anche quando la richiesta è fatta a fini legali. Questo principio prevale sulle normative nazionali che prevedono oneri economici per il richiedente e si inserisce in un contesto di crescente digitalizzazione, comunicazione istantanea e automazione dei processi sanitari.

Nell’ecosistema digitale moderno, in cui canali come email, portali web e strumenti conversazionali – inclusi i canali integrati via API come WhatsApp Business – diventano parte dei flussi di relazione con il paziente, la corretta gestione del diritto di accesso ai dati assume un ruolo centrale per conformità, efficienza e customer experience.

WhatsApp Business e GDPR: principi della Sentenza CGUE C-307/22

Al centro del dibattito vi è la Sentenza della Corte di Giustizia dell’Unione Europea nella causa C-307/22, originata in Germania. Un paziente aveva chiesto alla propria dentista una copia della cartella medica per valutare eventuali errori durante il trattamento; la professionista, in base al § 630g del BGB tedesco, aveva subordinato il rilascio al rimborso delle spese.

Il paziente ha ritenuto applicabile il diritto ad ottenere una copia gratuita ex art. 15 GDPR e si è rivolto ai giudici tedeschi, fino al Bundesgerichtshof, che ha rimesso la questione alla CGUE. La Corte ha definito alcuni principi cardine che impattano anche su come le strutture organizzano processi digitali, canali di contatto (compresi quelli automatizzati come chatbot o sistemi integrati con WhatsApp Business) e sistemi di gestione documentale.

Gratuità indipendente dalla finalità

La CGUE ha chiarito che l’obbligo di fornire all’interessato, a titolo gratuito, una prima copia dei dati personali oggetto di trattamento grava sul titolare del trattamento anche se la richiesta è motivata da uno scopo estraneo a quelli indicati nel Considerando 63 del GDPR. Rientrano quindi anche le richieste funzionali ad azioni legali contro il professionista sanitario.

Questo principio rafforza l’effetto utile del diritto di accesso e impedisce che motivazioni “difensive” del titolare – ad esempio timori di contenzioso – possano limitare o rendere più oneroso il diritto dell’interessato.

Divieto di normative nazionali onerose

La Corte ha stabilito che una normativa nazionale, anche se anteriore al GDPR, non può porre a carico dell’interessato le spese per la prima copia dei suoi dati personali se ciò serve a tutelare gli interessi economici del titolare. Un simile meccanismo violerebbe il diritto di accesso di cui all’articolo 15 e la sua effettività.

Per i sistemi sanitari nazionali, questo significa adeguare regolamenti interni, tariffari e prassi amministrative, passando da un modello basato sui “diritti di copia” a uno che valorizza processi digitali efficienti, magari supportati da automazione e canali smart come WhatsApp Business per la richiesta o lo stato avanzamento delle istanze (non per la consegna dei dati sanitari sensibili).

Nozione estensiva di “copia” e contenuto minimo garantito

La nozione di “copia” adottata dalla CGUE è ampia: nel rapporto medico/paziente, il diritto di ottenere una copia dei dati personali implica la consegna di una riproduzione fedele e intelligibile dell’insieme di tali dati. Quando necessario per garantire esattezza, completezza e intelligibilità, ciò può significare copia integrale dei documenti contenuti nella cartella medica.

In ogni caso, il contenuto minimo garantito comprende dati come diagnosi, risultati di esami, pareri dei medici curanti, terapie o interventi praticati. Per approfondire il quadro normativo, è utile richiamare il testo del Regolamento (UE) 2016/679 e le analisi specialistiche disponibili, ad esempio, sul portale del Garante per la protezione dei dati personali.

Accesso ai dati ex GDPR e accesso documentale: due piani distinti

Nel contesto italiano, la Sentenza ha messo in evidenza il conflitto – solo apparente – tra diritto di accesso ai dati personali ex art. 15 GDPR e accesso documentale ex Legge 241/1990. I due istituti, pur potendo riguardare lo stesso oggetto materiale (es. la cartella clinica), hanno presupposti, finalità e conseguenze differenti.

Accesso ai dati personali ex art. 15 GDPR

Si tratta del diritto dell’interessato ad ottenere dal titolare del trattamento conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ad accedere a tali dati e a ottenerne copia. La prima copia è gratuita, non richiede motivazione, e si applica a qualsiasi titolare, pubblico o privato.

L’interessato esercita diritti strettamente personali: il focus è sui dati, non necessariamente sul documento in sé. Proprio per questo le strutture devono essere in grado di distinguere, nei propri flussi e modulistica, tra richiesta di accesso ai dati (GDPR) e richiesta di copia di documenti amministrativi.

Accesso documentale ex Legge 241/1990

L’accesso ai documenti amministrativi ex L. 241/1990 richiede un interesse diretto, concreto e attuale, è esercitabile solo nei confronti delle pubbliche amministrazioni ed è subordinato al pagamento dei costi di riproduzione. L’oggetto è il documento amministrativo, che può anche non contenere dati personali o dati sanitari.

Il Garante ha censurato più volte le strutture sanitarie che, di fronte a richieste di accesso ai dati personali contenuti nella cartella sanitaria presentate ai sensi dell’articolo 15 del GDPR, le hanno trattate come richieste di accesso documentale, imponendo il pagamento di un contributo spese. La prima copia dei dati personali deve invece essere rilasciata gratuitamente.

Il titolare del trattamento deve valutare se, per garantire esattezza, completezza e intelligibilità dei dati, sia necessario fornire la copia integrale della documentazione sanitaria. In caso di istanze generiche, può chiedere all’interessato di specificare se richiede dati personali, documenti, o entrambi.

Impatto organizzativo sulle aziende sanitarie e ruolo della digitalizzazione

È ragionevole presumere che la Sentenza C-307/22 abbia generato un aumento significativo delle richieste di accesso ai dati delle cartelle cliniche ai sensi dell’articolo 15 GDPR. Questo incremento ha effetti diretti sui costi e sull’organizzazione interna delle strutture sanitarie.

L’aumento delle richieste

Tra i fattori principali:

WhatsApp Business e GDPR sanitario: cartella clinica e prima copia gratuita
  • Maggiore consapevolezza: la diffusione mediatica della Sentenza ha informato i cittadini del diritto a ottenere gratuitamente la prima copia della cartella clinica.
  • Convenienza economica: le tariffe per il rilascio di copia cartacea o digitale possono andare da 8 a oltre 30 euro, incentivando il ricorso al diritto di accesso gratuito.
  • Finalità di precontenzioso: studi legali e associazioni di tutela dei pazienti hanno promosso l’utilizzo dell’art. 15 GDPR per analizzare cartelle cliniche in vista di possibili azioni di responsabilità medica.

Onere amministrativo e costi

L’aumento delle richieste genera costi legati a:

  • riproduzione (carta, toner, supporti digitali, manutenzione apparecchiature);
  • personale (ricerca, duplicazione, verifica, consegna documentazione);
  • spedizione (in caso di invio postale);
  • organizzazione (formazione, procedure, gestione reclami).

Questi costi, prima recuperati tramite i diritti di copia ex L. 241/1990, gravano ora sui bilanci delle aziende sanitarie, almeno per la prima copia rilasciata ai sensi del GDPR. Da qui la necessità di accelerare processi di digitalizzazione e automazione, anche sfruttando strumenti di comunicazione e workflow che possono integrare canali conversazionali come WhatsApp Business per notifiche e interazioni non sensibili.

Cartella clinica digitale, fascicolo sanitario elettronico e controlli della Corte dei Conti

In Italia, la spinta verso la cartella clinica elettronica (CCE) ha basi normative già nella legge 4 aprile 2012, n. 35, art. 47-bis, che privilegia la gestione elettronica delle pratiche cliniche e consente, dal 1° gennaio 2013, la conservazione digitale delle cartelle nel rispetto del Codice dell’Amministrazione Digitale (D.Lgs. 82/2005) e della normativa privacy.

Nonostante ciò, gran parte delle cartelle è ancora conservata in formato analogico, rendendo onerosa la riproduzione, a differenza di quanto consentirebbe una piena digitalizzazione con archivi nativi digitali e conservazione a norma. La Corte dei conti, con la Delibera n. 84 del 30 maggio 2025 (Sezione Regionale di Controllo Piemonte, esercizio 2022), ha analizzato le prassi sul rilascio delle copie delle cartelle cliniche, evidenziando una forte disomogeneità tariffaria e applicativa fra aziende sanitarie.

Solo l’ASL Città di Torino ha dichiarato di essersi uniformata alla Sentenza CGUE, rilasciando gratuitamente la prima copia della cartella clinica; un’altra azienda ha manifestato l’intenzione di allinearsi non appena completato lo sviluppo della cartella clinica digitale. La Sezione Regionale auspica l’uniforme applicazione della giurisprudenza eurounitaria.

Gestione delle richieste, limiti alle richieste e soluzioni operative

Una corretta interpretazione del quadro normativo, anche alla luce delle FAQ del Garante, impone di distinguere tra diritto di accesso ai dati personali e accesso alla documentazione. L’oggetto dell’articolo 15 GDPR sono i dati personali, non necessariamente l’intera documentazione.

Triaging delle istanze e ruolo del DPO

Le strutture sanitarie dovrebbero adottare procedure chiare per distinguere:

  • richieste esplicite di prima copia gratuita ex art. 15 GDPR, che devono portare al rilascio gratuito;
  • richieste generiche, per cui il titolare deve interpellare il richiedente e chiarire se intende esercitare il diritto di accesso ai dati personali o l’accesso documentale;
  • richieste formulate ai sensi della L. 241/1990, per cui si applicano le tariffe aziendali.

Il Responsabile della Protezione dei Dati (DPO) deve coordinare questi flussi, assicurando risposta entro i termini dell’art. 12 GDPR. Gli uffici preposti alla riproduzione dovranno tracciare in un registro interno il rilascio della “prima copia” per ogni cartella e per ogni interessato, condizione necessaria per legittimare eventuali contributi spese sulle copie successive.

Processi digitali, automazione e tecnologie a supporto

La soluzione più efficace per contenere i costi della prima copia gratuita è l’ottimizzazione dei processi interni e l’accelerazione della digitalizzazione. Alcune leve chiave:

  • Automazione: uso di software gestionali che automatizzano ricerca, estrazione e generazione delle copie delle cartelle.
  • Identità digitale: utilizzo di SPID/CIE per la presentazione delle richieste e l’accesso al Fascicolo Sanitario Elettronico.
  • Formazione: training specifico sul differente regime di accesso ai sensi del GDPR e della L. 241/1990.

L’adozione di cartelle cliniche elettroniche native digitali, la trasmissione tramite PEC, email sicure o portali dedicati e l’allegazione sistematica al Fascicolo Sanitario Elettronico riducono costi marginali e richieste formali di copia. Misure per contenere richieste manifestamente infondate o eccessive sono previste dall’art. 12, par. 5 GDPR, che consente al titolare di addebitare un contributo ragionevole o rifiutare, a fronte di istanze ripetitive, a patto di poterne dimostrare il carattere eccessivo.

WhatsApp Business e GDPR sanitario: Impatto su Marketing e Business

WhatsApp Business e GDPR sanitario non riguardano solo conformità legale, ma incidono direttamente su marketing, comunicazione e posizionamento delle strutture sanitarie e delle realtà che operano nell’healthcare. Il modo in cui viene gestito l’accesso ai dati, la trasparenza verso il paziente e la digitalizzazione dei flussi incide sul percepito del brand e sulla fiducia.

Una struttura che comunica in modo chiaro, utilizza canali moderni (siti web, portali, notifiche via app e canali conversazionali) e rende semplici richieste come la copia della cartella clinica, dimostra attenzione alla customer experience. In questo contesto, WhatsApp Business può diventare un canale di relazione per:

  • invio di promemoria appuntamenti, notifiche sullo stato della richiesta (senza trasmissione di dati sensibili in chiaro);
  • supporto informativo automatizzato via chatbot su diritti, tempi, documenti necessari;
  • raccolta feedback sulla qualità dei servizi e del percorso paziente.

Per le aziende sanitarie private, i gruppi clinici, i poliambulatori e le realtà assicurative, una gestione compliant di WhatsApp Business e GDPR consente di integrare il canale nei CRM sanitari, tracciare le interazioni, orchestrare campagne di prevenzione o recall in modo rispettoso della normativa e dei consensi.

Le opportunità di business derivano da una migliore fidelizzazione, da un aumento della soddisfazione del paziente e da una riduzione dei costi di front office, grazie all’automazione di richieste ripetitive e informative. L’importante è separare con rigore i flussi di comunicazione marketing da quelli che implicano scambio di dati sanitari, adottando policy, informative e strumenti tecnici adeguati.

Come SendApp Può Aiutare con WhatsApp Business e GDPR sanitario

Per gestire in modo strutturato WhatsApp Business e GDPR sanitario, le strutture sanitarie hanno bisogno di piattaforme professionali, in grado di integrare API ufficiali, automazione, gestione dei consensi e controllo centralizzato degli accessi. Qui entra in gioco l’ecosistema SendApp.

Con SendApp Official, le organizzazioni possono utilizzare le API WhatsApp Business ufficiali per orchestrare comunicazioni scalabili e sicure: notifiche sugli appuntamenti, remind di esami, avvisi sulla disponibilità di documentazione, sempre nel rispetto delle policy WhatsApp e del GDPR. Le integrazioni con sistemi gestionali e CRM sanitari consentono di mantenere i dati all’interno di infrastrutture controllate, riducendo il rischio di utilizzi impropri.

SendApp Agent permette di gestire le conversazioni con i pazienti in team, con assegnazione delle chat, tag personalizzati, note interne e reportistica. Il front office può così rispondere in modo coerente e tracciato alle richieste informative su diritti di accesso, stato delle domande e percorsi clinici, lasciando fuori dal canale qualsiasi dato sanitario sensibile che debba viaggiare su canali più sicuri.

Per scenari più avanzati, SendApp Cloud offre funzionalità di marketing automation e workflow omnicanale: è possibile configurare journey che, previo consenso, informano il paziente su controlli periodici, campagne di prevenzione o aggiornamenti di servizio, integrando WhatsApp Business con email, SMS e altri touchpoint, sempre in linea con i requisiti di sicurezza e privacy.

In un contesto in cui il diritto di accesso ai dati sanitari diventa sempre più centrale e la digitalizzazione accelera, dotarsi di una piattaforma strutturata come SendApp permette di trasformare la compliance in leva di valore: meno tempo sui micro-task ripetitivi, più focus sulla relazione con il paziente e sulla qualità del servizio. Per le strutture sanitarie che vogliono evolvere la propria comunicazione e allineare WhatsApp Business e GDPR sanitario, è il momento ideale per valutare una consulenza dedicata e avviare una prova gratuita delle soluzioni SendApp.

Lascia un commento