Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Legge di bilancio 2026: cosa cambia per telemedicina, dati sanitari e privacy

La telemedicina non è più un terreno sperimentale, né un’appendice di emergenza del Servizio sanitario nazionale.

Scarica PDF Stampa

La telemedicina non è più un terreno sperimentale, né un’appendice di emergenza del Servizio sanitario nazionale. È diventata, ormai dal dopo lockdown, una infrastruttura giuridica e tecnologica stabile, destinata a incidere in modo strutturale sull’organizzazione dell’assistenza sanitaria, sulle modalità di erogazione delle prestazioni e, soprattutto, sul trattamento di una delle categorie di dati personali più delicate previste dall’ordinamento europeo: i dati relativi alla salute.
La legge di bilancio 2026 interviene in questo scenario con misure specifiche dedicate alla sanità digitale e alla telemedicina, stanziando risorse e rafforzando il ruolo di coordinamento nazionale. Tuttavia, come spesso accade, l’intervento finanziario precede – o quantomeno non accompagna in modo sistematico – una riflessione giuridica approfondita sulle implicazioni in materia di protezione dei dati personali, sicurezza informatica e diritti fondamentali dei pazienti.
L’obiettivo di questo contributo è analizzare in modo critico il rapporto tra telemedicina e privacy alla luce delle misure introdotte dalla manovra di bilancio 2026, collocandole all’interno del quadro normativo vigente: Regolamento (UE) 2016/679, Codice privacy italiano, disciplina settoriale sanitaria, interventi del Garante per la protezione dei dati personali e prospettive europee, a partire dallo Spazio europeo dei dati sanitari. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

Indice

1. La telemedicina come trattamento sistematico di dati sanitari su larga scala


Ogni discorso serio sulla telemedicina deve partire da un dato giuridico, troppo spesso rimosso nel dibattito pubblico: la telemedicina è, prima di tutto, un trattamento sistematico e continuativo di dati sanitari.
Non si tratta di un trattamento accessorio o occasionale, ma di un ecosistema complesso che coinvolge:

  • dati anamnestici;
  • dati clinici correnti;
  • parametri vitali rilevati da dispositivi medici;
  • immagini diagnostiche;
  • informazioni su terapie, farmaci, esiti e follow-up;
  • metadati relativi a tempi, luoghi, modalità di accesso alle prestazioni.

Tutti questi dati rientrano nella categoria dei dati particolari ex art. 9 GDPR, il cui trattamento è, in linea di principio, vietato, salvo il ricorrere di specifiche condizioni di liceità. Nel contesto della sanità pubblica, la base giuridica è normalmente individuata:

  • nell’interesse pubblico rilevante in ambito sanitario;
  • nella necessità di garantire diagnosi, assistenza o terapia;
  • negli obblighi legali cui è soggetto il titolare del trattamento.

Questo assetto normativo comporta una conseguenza precisa: la telemedicina non può mai essere progettata come un mero servizio tecnologico, ma deve essere strutturata fin dall’origine come trattamento ad alto rischio, soggetto a obblighi rafforzati di accountability. In materia di cybersicurezza, abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon

VOLUME

Formulario commentato della privacy

La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

 

Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025

58.90 €

Scopri di più

2. Le misure della legge di bilancio 2026: cosa prevedono


La legge di bilancio 2026 introduce misure dedicate alla sanità digitale e alla telemedicina, con particolare riferimento al ruolo di coordinamento nazionale e alla necessità di rendere omogenei i servizi sul territorio.
In particolare, viene previsto uno stanziamento di risorse a favore di Agenas, finalizzato al potenziamento e al coordinamento dei servizi di telemedicina, nonché al supporto delle Regioni nell’implementazione delle piattaforme e dei modelli organizzativi.
Accanto a questo, la manovra prevede interventi – quantitativamente più limitati – in materia di interoperabilità dei sistemi sanitari, con l’obiettivo di favorire l’integrazione tra:

  • servizi di telemedicina;
  • Fascicolo sanitario elettronico;
  • infrastrutture nazionali di scambio dati;
  • futuri assetti europei dello Spazio dei dati sanitari.

Il dato che emerge è chiaro: il legislatore finanziario riconosce la telemedicina come infrastruttura strategica, ma concentra l’intervento prevalentemente su profili organizzativi e tecnologici, lasciando sullo sfondo – ancora una volta – la questione della governance dei dati e della protezione dei diritti degli interessati.

3. Privacy e telemedicina: non un vincolo, ma un presupposto di legittimità


Nel dibattito pubblico, la privacy viene spesso rappresentata come un ostacolo all’innovazione. Nel contesto della telemedicina, questa narrazione è non solo errata, ma pericolosa.
La protezione dei dati personali non è un “vincolo esterno” alla sanità digitale: è il presupposto giuridico che consente la legittimità del trattamento. Senza un impianto solido di garanzie, la telemedicina rischia di diventare un sistema tecnicamente efficiente ma giuridicamente fragile.
Il GDPR impone, in questo ambito, una serie di obblighi non negoziabili:

  • privacy by design e by default: i sistemi devono essere progettati per trattare solo i dati necessari e con il massimo livello di protezione;
  • valutazione d’impatto sulla protezione dei dati (DPIA): obbligatoria per trattamenti su larga scala di dati sanitari;
  • misure di sicurezza adeguate al rischio, che nel caso della sanità è strutturalmente elevato;
  • trasparenza verso gli interessati, anche quando il trattamento non si fonda sul consenso;
  • chiara individuazione di ruoli e responsabilità tra titolari e responsabili del trattamento.

Nel contesto della telemedicina pubblica, questi obblighi ricadono su una pluralità di soggetti: Ministero della salute, Regioni, aziende sanitarie, fornitori tecnologici, piattaforme, provider cloud. La complessità organizzativa non attenua la responsabilità giuridica: la moltiplica.

4. Il ruolo del Garante privacy e la Piattaforma nazionale di telemedicina


Un passaggio fondamentale, spesso sottovalutato, è rappresentato dall’intervento del Garante per la protezione dei dati personali in relazione alla Piattaforma nazionale di telemedicina, sviluppata nell’ambito del PNRR.
Il Garante ha espresso un parere favorevole, ma condizionato all’introduzione di specifiche misure di garanzia, tra cui:

  • obbligo di DPIA preventiva;
  • cifratura dei dati;
  • sistemi avanzati di monitoraggio e logging;
  • tracciabilità degli accessi;
  • limitazione rigorosa dei privilegi degli operatori;
  • segregazione dei dati;
  • misure di sicurezza rafforzate contro accessi abusivi e data breach.

Questo intervento chiarisce un punto essenziale: la telemedicina è un’infrastruttura critica, non solo dal punto di vista sanitario, ma anche sotto il profilo della sicurezza nazionale e della tutela dei diritti fondamentali.

Potrebbero interessarti anche:

5. Interoperabilità, FSE e nuovi rischi sistemici


La legge di bilancio 2026 insiste sul tema dell’interoperabilità, considerata – a ragione – un obiettivo strategico. Tuttavia, dal punto di vista della protezione dei dati, l’interoperabilità non è un valore neutro.
Ogni interoperabilità amplia:

  • il numero dei soggetti che accedono ai dati;
  • i punti di scambio;
  • le superfici di attacco;
  • il rischio di utilizzi impropri o eccedenti le finalità.

L’integrazione tra telemedicina e Fascicolo sanitario elettronico, se non governata con criteri rigorosi, può trasformarsi in un moltiplicatore di rischio, soprattutto in assenza di:

  • controlli granulari sugli accessi;
  • separazione delle finalità;
  • politiche di conservazione differenziate;
  • audit periodici indipendenti.

La protezione dei dati, in questo contesto, non può limitarsi alla conformità formale: deve diventare architettura di sistema.

6. Sicurezza informatica e resilienza: il nodo irrisolto


La sanità è uno dei settori più colpiti da attacchi informatici. La telemedicina, per definizione, amplia l’esposizione delle infrastrutture sanitarie, introducendo dispositivi, connessioni remote, flussi continui di dati.
La legge di bilancio 2026, pur riconoscendo l’importanza della sanità digitale, non affronta in modo sistematico il tema della resilienza cyber, che resta affidato a strumenti frammentari: strategie nazionali, linee guida, interventi ex post.
Dal punto di vista giuridico, questo crea una tensione evidente con l’art. 32 GDPR, che impone misure di sicurezza adeguate “tenendo conto dello stato dell’arte”. Nella sanità digitale, lo stato dell’arte non è opzionale: è un obbligo giuridico

7. Conclusioni: telemedicina sì, ma non a qualsiasi costo


La telemedicina rappresenta una straordinaria opportunità per il sistema sanitario italiano. Può migliorare l’accesso alle cure, ridurre le disuguaglianze territoriali, rendere più efficiente la gestione delle cronicità.
Ma questa opportunità ha un prezzo giuridico preciso: un livello elevato e strutturale di tutela dei dati personali.
La legge di bilancio 2026 segna un passo in avanti sul piano del riconoscimento politico e finanziario della sanità digitale, ma lascia aperte questioni cruciali:

  • la sufficienza delle risorse rispetto alla complessità dei rischi;
  • la maturità delle governance regionali;
  • la reale integrazione tra innovazione tecnologica e protezione dei diritti;
  • la capacità di prevenire, e non solo gestire, gli incidenti.

In definitiva, la telemedicina potrà diventare un pilastro credibile del Servizio sanitario nazionale solo se sarà trattata per ciò che è davvero: un trattamento ad altissimo impatto sui diritti fondamentali, che richiede rigore giuridico, competenza tecnica e una visione della privacy non come freno, ma come infrastruttura di fiducia.

Formazione in materia per professionisti


Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Vacanze di Natale, panettoni e data breach: come non regalare i propri dati (e quelli altrui) durante le feste

Dal punto di vista della privacy e della protezione dei dati personali, il periodo delle festività è…

Luisa Di Giacomo 24/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Misure di sicurezza inadeguate e consensi “automatici”: il Garante privacy sanziona AIMAG

Quando si parla di protezione dei dati personali, la sicurezza non è un’opzione tecnica né un dettag…

Luisa Di Giacomo 22/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Marketing indesiderato e consenso “forzato”: il Garante sanziona Verisure Italia

Il marketing diretto continua a essere uno dei terreni più scivolosi del diritto della protezione de…

Luisa Di Giacomo 19/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Le nuove Linee guida ANAC sul whistleblowing: profili organizzativi e implicazioni applicative

Con la Delibera n. 478, l’ANAC ha adottato le nuove Linee guida in materia di whistleblowing sui can…

Sara Verde 18/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;