Abstract
Questo articolo fornisce una guida chiara e aggiornata per chi sviluppa, gestisce o utilizza marketplace sanitari. Vengono approfonditi i limiti normativi tra funzione tecnica e attività clinica, le corrette basi giuridiche per il trattamento dei dati personali, le responsabilità legate ai ruoli degli operatori coinvolti e le misure da adottare per garantire sicurezza e trasparenza. Un focus specifico è dedicato alla tutela dell’innovazione e alla gestione della proprietà intellettuale dei dati, temi sempre più centrali nello sviluppo di software, piattaforme web e sistemi basati su intelligenza artificiale.
Marketplace sanitari: cosa sono e come funzionano
I marketplace sanitari sono piattaforme digitali – siti web o app – pensate per mettere in contatto pazienti e professionisti della salute. Consentono di prenotare visite, gestire appuntamenti, effettuare televisite e, in alcuni casi, scambiare documenti clinici come referti o certificati. In Italia, sono ormai la norma: li utilizzano tanto le strutture pubbliche (ASL, ospedali universitari) quanto i grandi gruppi privati, come Humanitas, Policlinico Gemelli, GVM Care & Research, Santagostino o piattaforme nazionali come MioDottore e Top Doctors.
Le funzionalità offerte da questi sistemi sono principalmente di tipo amministrativo e organizzativo: gestione delle agende, prenotazioni, pagamenti online, televisite intese come servizio tecnico, e talvolta archiviazione di referti o dello storico degli appuntamenti. In parte, queste piattaforme si avvicinano al Fascicolo Sanitario Elettronico, pur avendo finalità e responsabilità differenti.
Tuttavia, non sempre è chiaro dove finisca l’ambito tecnico-organizzativo e dove inizi quello clinico. Questo crea incertezze sia dal punto di vista normativo sia nella definizione dei ruoli e delle responsabilità. Quando una piattaforma entra – anche indirettamente – nel campo della diagnosi o dell’assistenza, il rischio di violare il GDPR diventa concreto.
Il trattamento di dati sanitari per finalità di cura è infatti riservato esclusivamente ai professionisti sanitari, come chiarito dall’art. 9, par. 2, lett. h e par. 3 del GDPR: è lecito solo se effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale. Le piattaforme, quindi, non possono intervenire nel processo diagnostico o terapeutico.
Ma cosa significa, concretamente, rispettare questi limiti? E quali errori progettuali mettono a rischio la conformità legale della piattaforma?
Chi tratta i dati? Basi giuridiche e responsabilità nei flussi digitali
In un marketplace sanitario, non tutti i dati trattati sono uguali: il Regolamento Generale sulla Protezione dei Dati (GDPR) distingue infatti tra dati personali comuni (come nome, email, password) e dati particolari, cioè quelli idonei a rivelare lo stato di salute dell’utente (art. 9 GDPR). Questa distinzione è fondamentale per progettare flussi di trattamento corretti, evitare violazioni e garantire trasparenza.
Facciamo un esempio: quando un utente prenota una visita specialistica — dermatologica, cardiologica o oncologica — il solo fatto della prenotazione rivela un’informazione sanitaria implicita. In questo caso, la base giuridica corretta per il trattamento è il consenso esplicito e informato (art. 9, par. 2, lett. a) GDPR), da raccogliere in modo chiaro, specifico e separato.
Diversa è la situazione dei dati non sanitari usati per creare un account (email, nome, password): qui la base giuridica è l’esecuzione di un contratto (art. 6, par. 1, lett. b) GDPR), e non serve un consenso separato. Tuttavia, se gli stessi dati vengono usati anche per finalità commerciali o di profilazione, allora servono consensi ulteriori e specifici, come previsto dagli articoli 6 e 7 del GDPR.
Queste distinzioni vanno integrate già in fase di progettazione. Non farlo espone a conseguenze gravi: se il sistema deve essere riprogettato per conformarsi ex post, si rischiano ritardi, costi aggiuntivi e responsabilità. La compliance, in questo ambito, non è un optional, ma un requisito strutturale.
Anche i dati dei professionisti sanitari richiedono attenzione. I loro profili (anagrafica, specializzazione, recensioni, foto) sono trattati in base al contratto di servizio stipulato con la piattaforma (art. 6, par. 1, lett. b) GDPR). In questo caso, il marketplace è titolare del trattamento e deve fornire un’informativa completa, compresi gli eventuali criteri di ordinamento dei risultati e l’uso di algoritmi o intelligenza artificiale.
Infine, i dati clinici veri e propri — come referti, prescrizioni, diagnosi — sono trattati solo dal medico come titolare autonomo per finalità di cura (art. 9, par. 2, lett. h) GDPR). Se la piattaforma conserva questi dati o gestisce l’agenda per conto del medico, assume il ruolo di responsabile del trattamento (art. 28 GDPR), con obblighi contrattuali precisi su limiti, istruzioni e sicurezza.
Sapere chi tratta cosa, e su quale base giuridica, non è un dettaglio formale ma il cuore della governance digitale. Ma cosa succede quando il trattamento avviene su larga scala o coinvolge utenti vulnerabili? In quel caso entra in gioco la valutazione d’impatto.
Valutazione d’impatto, trasparenza e trasferimenti internazionali
Quando un marketplace sanitario tratta dati sulla salute su larga scala o si rivolge a soggetti vulnerabili, il trattamento viene considerato ad alto rischio per i diritti e le libertà degli interessati. In questi casi, l’art. 35 del GDPR impone la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima dell’avvio delle attività.
La DPIA non è una formalità, ma uno strumento strategico: descrive i trattamenti, valuta i rischi, definisce le misure di sicurezza. Va aggiornata ogni volta che cambiano le tecnologie, i volumi di dati o le modalità operative. Senza una DPIA aggiornata, diventa impossibile dimostrare la compliance, con il rischio concreto di contestazioni e sanzioni.
La trasparenza, poi, è un altro pilastro. Il GDPR impone che l’utente sappia fin dall’inizio chi tratta i dati, per quali finalità e su quale base giuridica. Per questo, il Garante raccomanda informative stratificate e basate su principi di legal design: una prima parte sintetica, seguita da approfondimenti tematici. L’informativa deve chiarire anche come vengono selezionati e ordinati i professionisti sanitari, se vengono usati algoritmi o intelligenza artificiale, per quanto tempo vengono conservati i dati e se verranno riutilizzati per finalità diverse da quelle dichiarate.
Un altro aspetto critico riguarda i trasferimenti di dati all’estero. Se il trattamento coinvolge più Paesi UE, il caso può essere qualificato come transfrontaliero (art. 4, punto 23 GDPR), e il controllo ricade sull’autorità del Paese dove si trova la sede principale. Ma se i dati vengono inviati al di fuori dello Spazio Economico Europeo, la piattaforma deve indicare chiaramente quali garanzie legittimano il trasferimento (artt. 45-49 GDPR): ad esempio, clausole contrattuali standard o decisioni di adeguatezza della Commissione UE.
Un marketplace che integra DPIA, informative chiare e gestione corretta dei flussi internazionali non solo rispetta il GDPR, ma guadagna fiducia. E nel settore sanitario, la fiducia è un asset competitivo fondamentale. Ma come si traduce tutto questo nella pratica progettuale di piattaforme sanitarie, innovative ma lecite?
Progettare una piattaforma sicura: privacy by design, innovazione e proprietà dei dati
Dati, dati personali e innovazione sono al centro della trasformazione della sanità digitale. Oggi, il trattamento dei dati non riguarda soltanto la conformità normativa: rappresenta anche una questione strategica per chi sviluppa piattaforme web, software sanitari e soluzioni basate su intelligenza artificiale.
L’art. 25 del GDPR richiede che la protezione dei dati sia integrata fin dalla progettazione (privacy by design) e attiva per impostazione predefinita (privacy by default). Questo impone di adottare, già nella fase di sviluppo, misure tecniche e organizzative adeguate, in grado di:
- ridurre al minimo i dati trattati,
- prevenire accessi non autorizzati,
- mitigare i rischi per gli utenti.
Queste misure devono essere progettate con attenzione e mantenute nel tempo, adattandosi all’evoluzione tecnologica, alla natura dei dati e alla possibile dimensione transfrontaliera dei trattamenti.
Tra le soluzioni considerate efficaci dall’art. 32 del GDPR rientrano:
- la cifratura dei dati in transito e in archiviazione,
- l’autenticazione a più fattori,
- l’impiego di codici OTP per operazioni sensibili,
- il blocco automatico dell’app dopo un periodo di inattività,
- il monitoraggio degli accessi per individuare anomalie,
- l’adozione di accorgimenti contro errori da omonimia o omocodia.
Per quanto riguarda la verifica dell’identità dei professionisti, è consigliabile l’uso di canali ufficiali, come la PEC registrata in INI‑PEC.
Oltre agli aspetti di sicurezza, è necessario considerare anche la proprietà e la governance dei dati. Le informazioni generate o elaborate da una piattaforma — comprese quelle non strettamente cliniche — possono costituire un patrimonio informativo rilevante, ponendo questioni in termini di responsabilità, titolarità e riutilizzo. Nei marketplace sanitari, questi aspetti si intrecciano con le tematiche di tutela dell’innovazione e protezione della proprietà intellettuale, soprattutto quando entrano in gioco componenti di intelligenza artificiale o soluzioni algoritmiche.
In sanità, il valore di un sistema digitale dipende sempre più dalla sua capacità di trattare i dati in modo sicuro, trasparente e legalmente sostenibile. È su questa base che si costruisce la fiducia degli utenti e, con essa, la tenuta nel tempo dell’innovazione.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 19 Agosto 2025
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.