f in x
Cartella Clinica Digitale — Cosa Deve Contenere per Essere GDPR-Compliant e Davvero Operativa
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
Software Gestionali

Cartella Clinica Digitale — Cosa Deve Contenere per Essere GDPR-Compliant e Davvero Operativa

[2026-07-04] Author: Ing. Calogero Bono
Zenithby Meteora Web Il sistema operativo della tua attività. Social, clienti, prenotazioni e fatture in un'unica piattaforma. Palestre, barber, professionisti. Scopri Zenith Demo gratis · senza carta

Il tuo studio medico ha ancora i fascicoli di carta? O una cartella digitale che è solo un PDF senza struttura? Il problema non è la carta, è che senza un sistema strutturato rischi sanzioni e perdi tempo. Noi, di Meteora Web, lavoriamo con medici e professionisti sanitari che hanno dovuto adeguarsi al DM 70/2020 e al GDPR. E abbiamo visto di tutto: campagne di backup inesistenti, consensi informati archiviati in cartelle condivise senza protezione, dati clinici in chiaro su hosting di terze parti. La cartella clinica digitale non è un lusso: è un obbligo normativo e, se fatta bene, un acceleratore del lavoro quotidiano. In questa guida didattica e operativa ti spieghiamo esattamente quali dati deve contenere, in che formato e con quali garanzie. Niente teoria inutile: solo quello che serve per essere compliant ed efficienti.

Quali dati minimi deve contenere una cartella clinica digitale?

La normativa italiana (DM 70/2020 e successive) definisce un set minimo di dati che ogni cartella clinica digitale deve includere. Non sono negoziabili. Ecco l'elenco concreto:

  • Dati anagrafici del paziente: nome, cognome, data di nascita, codice fiscale, sesso, indirizzo, contatti (telefono, email).
  • Dati del medico curante: nome, cognome, numero di iscrizione all'Ordine, specializzazione, eventuale struttura di appartenenza.
  • Data di apertura della cartella e data di ultimo aggiornamento.
  • Anamnesi: patologie pregresse, allergie, intolleranze, interventi chirurgici, terapie in corso.
  • Documentazione clinica: referti, esami strumentali, immagini (DICOM se applicabile), referti di laboratorio.
  • Diario clinico: visite, note del medico, prescrizioni, piani terapeutici.
  • Consenso informato firmato digitalmente (obbligatorio per trattamenti e studi clinici).
  • Tracciabilità: ogni accesso e modifica deve essere loggata con data, ora, utente e azione.

Errore comune: inserire solo i dati anagrafici e le prescrizioni, ignorando l'anamnesi e i consensi. Questo rende la cartella incompleta e non conforme. Noi consigliamo di partire da uno schema dati strutturato, ad esempio un database relazionale con tabelle normalizzate. Ecco un esempio di schema SQL minimo per le tabelle principali:

Sponsored Protocol

CREATE TABLE pazienti (
    id INT PRIMARY KEY AUTO_INCREMENT,
    nome VARCHAR(50),
    cognome VARCHAR(50),
    data_nascita DATE,
    codice_fiscale VARCHAR(16) UNIQUE,
    email VARCHAR(100),
    telefono VARCHAR(20)
);

CREATE TABLE visite (
    id INT PRIMARY KEY AUTO_INCREMENT,
    paziente_id INT,
    data_visita DATETIME,
    medico_id INT,
    anamnesi TEXT,
    diagnosi TEXT,
    FOREIGN KEY (paziente_id) REFERENCES pazienti(id),
    FOREIGN KEY (medico_id) REFERENCES medici(id)
);

CREATE TABLE logs_accessi (
    id INT PRIMARY KEY AUTO_INCREMENT,
    paziente_id INT,
    utente VARCHAR(50),
    azione VARCHAR(50),
    timestamp DATETIME DEFAULT CURRENT_TIMESTAMP
);

Questo è solo un esempio, ma ti dà l'idea: ogni dato ha un suo posto e puoi interrogarlo senza cercare in mille PDF.

Come si gestisce la firma digitale e il consenso informato?

Il consenso informato è un documento critico. Non basta un checkbox sul sito: deve essere firmato digitalmente dal paziente (o da chi ne ha la potestà) e archiviato in modo immutabile. La normativa richiede firma digitale qualificata (QES) o, in alcune regioni, firma elettronica avanzata (AES). Noi abbiamo implementato per vari studi l'integrazione con servizi di firma remota come Aruba Sign o InfoCert, oppure con librerie server-side per la creazione di PAdES. Il flusso tipico è:

Sponsored Protocol

  1. Il medico carica il modulo di consenso personalizzato.
  2. Il paziente lo riceve via email o app e lo firma digitalmente.
  3. Il sistema verifica la validità della firma e archivia il PDF/A con marca temporale.
  4. Il consenso viene associato alla cartella clinica e alla specifica visita/trattamento.

Attenzione: la firma digitale non è un optional. Senza di essa, in caso di contenzioso o ispezione, la cartella non ha valore legale. Noi, di Meteora Web, abbiamo aiutato uno studio a passare da un archivio di moduli cartacei a un sistema digitale con firma remota: il tempo di raccolta consensi è sceso del 70% e le verifiche sono diventate immediate.

Quanto è importante la tracciabilità e la cronologia delle modifiche?

La cartella clinica digitale deve essere immutabile nel senso che ogni modifica non cancella la precedente ma crea una nuova versione. Questo è richiesto dall'articolo 7 del GDPR (diritto di rettifica, ma con cronologia) e dai principi di integrità dei dati. In pratica: ogni volta che un medico modifica una diagnosi o aggiunge una nota, il sistema deve salvare la versione precedente e loggare chi ha fatto cosa e quando. Una tabella versioni_cartella può fare al caso:

CREATE TABLE versioni_cartella (
    id INT PRIMARY KEY AUTO_INCREMENT,
    paziente_id INT,
    versione INT,
    contenuto JSON,
    creato_da VARCHAR(50),
    creato_il DATETIME DEFAULT CURRENT_TIMESTAMP
);

Noi vediamo spesso studi che usano soluzioni come Google Drive o Dropbox per condividere i file. Attenzione: quei sistemi non garantiscono la cronologia delle modifiche in modo conforme (non tengono traccia di chi ha cancellato un file, per esempio) e non offrono firma digitale integrata. Il nostro consiglio è di usare un gestionale nato per la sanità o, se costruisci da zero, assicurati di implementare un versioning robusto.

Sponsored Protocol

Quali misure di sicurezza sono obbligatorie per la conservazione?

Il GDPR impone misure tecniche e organizzative adeguate. Per la cartella clinica digitale, queste includono:

  • Cifratura a riposo: i dati devono essere crittografati sul server (AES-256).
  • Cifratura in transito: HTTPS obbligatorio, meglio con TLS 1.3.
  • Backup giornalieri con conservazione off-site e test periodici di ripristino.
  • Controllo degli accessi: autenticazione forte (2FA), ruoli differenziati (medico, infermiere, segreteria).
  • Log di accesso e audit trail conservati per almeno 10 anni (secondo la normativa sanitaria).
  • Piano di disaster recovery documentato.

Un esempio concreto: un nostro cliente aveva un gestionale cloud con i dati in chiaro su un server condiviso. Abbiamo migrato su un'istanza dedicata con crittografia EFS, configurato backup automatici su archivio a freddo e introdotto l'autenticazione a due fattori. Costo aggiuntivo irrisorio (circa 30€/mese) rispetto al rischio di una sanzione o di un attacco ransomware. La sicurezza non è un costo, è un investimento per non perdere la licenza.

Sponsored Protocol

Come integrare la cartella clinica digitale con la ricetta e la prescrizione?

Una cartella clinica digitale non è completa se non si collega con la prescrizione farmaceutica e la ricetta medica. Il DM 70/2020 prevede l'interoperabilità con il sistema regionale e nazionale. In pratica, la cartella deve poter generare una ricetta dematerializzata (NRR) da inviare al Fascicolo Sanitario Elettronico (FSE). I dati minimi per la prescrizione includono: principio attivo, dosaggio, posologia, durata, note. Questi dati devono essere estratti dalla cartella e inviati tramite API regionali o servizi come il Sistema TS. Noi abbiamo sviluppato per uno studio un modulo che, a partire dalle note cliniche, genera automaticamente la bozza di ricetta, riducendo errori e tempi di compilazione. Ecco un esempio di payload JSON per una prescrizione:

{
  "paziente": {
    "codiceFiscale": "RSSMRA85M10H501U",
    "nome": "Mario",
    "cognome": "Rossi"
  },
  "medico": {
    "codiceRegionale": "12345",
    "iscrizioneOrdine": "ME12345"
  },
  "prescrizione": {
    "data": "2026-04-10",
    "farmaci": [
      {
        "atc": "C09CA01",
        "principioAttivo": "Losartan",
        "dosaggio": "50 mg",
        "posologia": "1 compressa al giorno",
        "durata": 30,
        "note": "Assumere al mattino"
      }
    ]
  }
}

Questo JSON può essere inviato a un'API regionale o usato per popolare un modulo NRR. Se la tua cartella non genera output in formato standard, rischi che il medico debba ricopiare i dati a mano. Noi sconsigliamo soluzioni che non dialogano con il FSE: il futuro è l'interoperabilità.

Sponsored Protocol

Cosa fare adesso

Se stai progettando o rinnovando la cartella clinica digitale del tuo studio, ecco le azioni immediate da fare:

  1. Verifica la conformità con il DM 70/2020 e il GDPR. Controlla che la tua soluzione includa tutti i dati minimi, la firma digitale, la tracciabilità e la cifratura.
  2. Sposta i dati dalla carta al digitale in modo strutturato. Non scansionare i vecchi fascicoli come PDF, ma inseriscili in un database con campi separati.
  3. Integra la firma digitale per i consensi informati. Puoi usare servizi come Aruba Sign o InfoCert.
  4. Configura backup e disaster recovery documentati. Prova il ripristino almeno una volta al mese.
  5. Collegati al Fascicolo Sanitario Elettronico tramite API regionali o un gestionale che già lo supporta.

Noi, di Meteora Web, abbiamo aiutato diversi studi a fare questa transizione. Se vuoi approfondire la parte gestionale completa, leggi il nostro articolo sul gestionale per studio medico che copre anche fatturazione e privacy. Per ulteriori dettagli normativi, consulta le linee guida del Garante per la protezione dei dati personali. Per un approfondimento sulla sicurezza informatica nei pipeline, leggi il nostro articolo su SAST e DAST nel pipeline.

Provalo con Zenith

Zenith Health & Medical è la piattaforma all-in-one per gestire la tua attività — clienti, agenda, scadenze, fatturazione e promemoria WhatsApp, tutto da browser. Senza installare nulla.

Scopri Zenith Health & Medical →
Ing. Calogero Bono

> AUTHOR_EXTRACTED

Ing. Calogero Bono

Ingegnere informatico, fondatore di Meteora Web e Zenith OS. System administrator e progettista di piattaforme, app e CMS proprietari, con esperienza in sviluppo full-stack, marketing digitale ed ecosistema Google.
[ Read Full Dossier ]

> METEORA_WEB // WEB AGENCY

Costruiamo la presenza digitale che la tua azienda merita.

Siti web, social, pubblicità online, e-commerce e hosting performante: ingegnerizzati con metodo da ingegneri informatici a Sciacca, per tutta Italia.

> MW_JOURNAL

> READ_ALL()