Contesto: quando il marketing supera il confine della legalità
Sempre più spesso alcuni operatori del settore odontoiatrico si affidano a società esterne per gestire le campagne di marketing e i ricontatti dei potenziali pazienti.
In molti casi, però, queste aziende si presentano come se fossero lo studio dentistico stesso, spingendosi a porre domande sullo stato di salute o sulle condizioni economiche della persona che ha compilato un form online.
Questo comportamento non solo mina la fiducia del paziente, ma può configurare violazioni del GDPR e della normativa sanitaria italiana.
Il quadro normativo di riferimento
Il tema è disciplinato principalmente da:
– Regolamento (UE) 2016/679 (GDPR)
– D.Lgs. 101/2018, che ha adeguato la normativa italiana
– Codice di Deontologia Medica e obbligo di segreto professionale
– Provvedimenti del Garante Privacy, che chiariscono limiti e responsabilità nel trattamento dei dati sanitari
I dati sanitari sono “particolari”: serve un consenso esplicito
Secondo l’articolo 9 del GDPR: “Il trattamento dei dati relativi alla salute è vietato, salvo specifiche eccezioni.”
Uno studio può trattare dati sanitari solo se:
1- lo fa nell’ambito di un percorso clinico o di prevenzione sanitaria,
2- il trattamento è effettuato da professionisti sanitari o sotto la loro responsabilità diretta,
3- l’interessato ha fornito un consenso esplicito, informato e specifico.
Quando un call center esterno raccoglie queste informazioni prima che il paziente diventi tale, si entra in un ambito di marketing e profilazione, non di diagnosi.
In questo caso serve un consenso distinto e ben esplicitato.
Dove si annidano i rischi principali
Ecco i punti critici che possono far scattare sanzioni o danni reputazionali:
🔸 Mancanza di trasparenza: se il paziente crede di parlare con lo studio, ma in realtà risponde a un operatore esterno.
🔸 Trattamento illecito di dati sanitari: se si chiedono informazioni sulla salute senza il necessario consenso esplicito.
🔸 Uso di società estere non conformi al GDPR: trasferire dati fuori dall’UE richiede specifiche garanzie contrattuali.
🔸 Assenza di contratto di nomina a “Responsabile esterno del trattamento” per il call center.
🔸 Profilazione economica o sanitaria non dichiarata: domande su “quanto può spendere” o “quanti denti mancano” sono dati particolari.
🔸 Violazione del segreto professionale: se il personale che riceve i dati non è soggetto a tale obbligo.
🔸 Sicurezza informatica insufficiente: canali non cifrati o accessi non controllati ai dati raccolti.
Le conseguenze legali e reputazionali
Chi adotta pratiche simili rischia:
💥 Sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato globale (art. 83 GDPR)
⚖️ Segnalazioni al Garante Privacy da parte di utenti o competitor
🧨 Danni di immagine e perdita di fiducia da parte dei pazienti
Come operare nel rispetto delle regole
Per mantenere campagne marketing efficaci senza incorrere in violazioni, uno studio odontoiatrico dovrebbe:
✅ Redigere un’informativa chiara e completa (art. 13 GDPR)
✅ Ottenere consenso esplicito per l’uso dei dati sanitari a fini di marketing
✅ Garantire che il ricontatto sia effettuato da personale interno o da soggetti formalmente incaricati e formati
✅ Stipulare un contratto di nomina a Responsabile esterno con eventuali partner
✅ Verificare la localizzazione dei server e l’adeguatezza del Paese estero se i dati vengono trasferiti fuori dall’UE
✅ Aggiornare le misure di sicurezza (autenticazioni, audit, crittografia, log accessi)
Conclusione
Delegare a società esterne la gestione dei lead può sembrare una scorciatoia, ma quando queste società si fingono lo studio e trattano dati sanitari si entra in un terreno minato.
👉 Trasparenza, consenso informato e rispetto delle normative non sono solo obblighi legali, ma elementi di fiducia che distinguono gli studi professionali etici da chi adotta pratiche scorrette.
Sicuro che la tua comunicazione rispetti la Legge Boldi e la Altre Normative sulla Privacy? Guarda il Webinar sul nostro Canale Youtube
