Cartelle cliniche digitali e GDPR: la checklist 2026 per psicologi

Se gestisci uno studio di psicologia o psicoterapia, il 2026 è un anno in cui la normativa sulla privacy si fa più densa. L'AI Act europeo entra in piena applicazione il 2 agosto, la Legge italiana 132/2025 è in vigore da ottobre scorso, e il GDPR continua a essere la cornice di base che conosci già ma che merita una revisione periodica.

Questo articolo non è un trattato legale. È una checklist operativa. Dieci punti concreti da verificare nel tuo studio da qui a fine anno, per essere in regola senza affanni.

Perché il 2026 cambia qualcosa

Il GDPR (Regolamento UE 2016/679) è lo scheletro normativo di riferimento da maggio 2018. Non cambia. Ma intorno ad esso, in questi mesi, si stanno aggiungendo due tasselli importanti che impattano direttamente chi lavora nella salute mentale.

Il primo è l'AI Act europeo (Regolamento UE 2024/1689). Diventa applicabile nella sua forma completa dal 2 agosto 2026. Classifica i sistemi di intelligenza artificiale per livello di rischio e impone obblighi specifici ai "sistemi ad alto rischio", categoria che include molti strumenti usati in sanità.

Il secondo è la Legge 132/2025, in vigore dal 10 ottobre 2025. Recepisce i principi dell'AI Act e li adatta al contesto italiano. L'articolo 13 è quello che ti riguarda più direttamente. Stabilisce che psicologi, medici e altri professionisti devono informare il paziente quando usano AI nella gestione del caso. Il consenso informato va aggiornato di conseguenza.

Il messaggio di fondo di tutto questo impianto normativo è semplice. La tecnologia nello studio deve essere trasparente, tracciabile, sotto controllo umano, e rispettosa della riservatezza. Nessuna di queste richieste è rivoluzionaria. Quasi tutte discendono da principi già presenti nel GDPR e nel Codice Deontologico degli Psicologi Italiani. Quello che cambia è il livello di dettaglio richiesto e l'attenzione istituzionale al tema.

Checklist. Dieci punti da verificare oggi nel tuo studio

1. Registro dei trattamenti aggiornato

Il registro dei trattamenti (art. 30 GDPR) è un documento che ogni psicologo titolare deve tenere. Non va esibito spontaneamente, ma deve essere pronto in caso di richiesta del Garante. Verifica due cose. La data dell'ultima revisione (se risale a più di 12 mesi fa, aggiornalo) e la completezza delle categorie di trattamento elencate.

2. Informativa privacy aggiornata per il 2026

L'informativa consegnata ai pazienti va rivista ogni volta che cambia qualcosa di sostanziale nel tuo modo di trattare i dati. Se quest'anno hai introdotto uno strumento nuovo (software gestionale, piattaforma di telepsicologia, servizio cloud), deve comparire nell'informativa. Controlla anche il riferimento ai diritti dell'interessato (artt. 15-22 GDPR) e al trasferimento dati all'estero, se usi strumenti con server fuori UE.

3. Consenso informato che include l'uso di AI

Questo è il punto più fresco. L'articolo 13 della Legge 132/2025 introduce l'obbligo di informare il paziente sull'uso dell'AI nella gestione del suo caso. Se il tuo gestionale, il tuo software di trascrizione, o qualsiasi altro strumento che usi impiega AI, devi integrare il consenso informato con una sezione dedicata. Chiarisci quale funzione AI usi, per cosa la usi, e sottolinea che la decisione clinica resta tua.

4. Server in Unione Europea

Ogni strumento digitale che usi per trattare dati sanitari dovrebbe avere i server in UE. Se usi servizi con hosting extra-UE, devi verificare che la tua informativa lo dichiari esplicitamente e che il fornitore adotti le clausole contrattuali standard previste dal GDPR per il trasferimento internazionale.

5. Data Processing Agreement con i fornitori

Se usi un software gestionale, una piattaforma cloud, un servizio di fatturazione elettronica o qualsiasi altro strumento che tocchi i dati dei pazienti, il fornitore è "responsabile del trattamento" (art. 28 GDPR). Deve averti firmato un Data Processing Agreement (DPA) o un atto di nomina equivalente. Se non lo hai, richiedilo al fornitore. Se il fornitore non te lo fornisce, è un segnale da valutare.

6. Tempi di conservazione

I dati dei pazienti vanno conservati per il tempo strettamente necessario alle finalità dell'incarico. Il Codice Deontologico degli Psicologi Italiani (art. 17) fissa un minimo di cinque anni. Altre guide professionali indicano intervalli tra 5 e 10 anni dopo la conclusione del rapporto. Stabilisci una regola chiara nel tuo studio e applicala sistematicamente. Le cartelle cliniche digitali devono avere tempi di conservazione tracciati, non lasciati al caso.

7. Procedure per data breach

Se subisci una violazione dei dati (perdita, accesso non autorizzato, cyber attack), hai 72 ore per notificarla al Garante Privacy (art. 33 GDPR). Se la violazione è ad alto rischio per i pazienti, devi anche informare loro (art. 34). Predisponi una procedura scritta, anche breve. A chi chiami, cosa scrivi, dove lo documenti. Senza procedura, in 72 ore non fai in tempo.

8. Backup e disaster recovery

Se tutti i tuoi dati sono su un singolo dispositivo o account cloud senza backup, sei esposto. Un guasto, un furto, un ransomware, e perdi tutto. La continuità del servizio è parte del GDPR (art. 32, "ripristino tempestivo"). Verifica che il tuo gestionale o il tuo sistema di archiviazione abbia backup automatici e testati.

9. Accessi autorizzati e password policy

Ai dati dei pazienti accede solo chi è autorizzato. Se lavori da solo, sei solo tu. Se condividi lo studio o hai un collaboratore, va formalizzato chi accede a cosa. Password forti, cambiate periodicamente, mai condivise via email non cifrata. Autenticazione a due fattori dove possibile.

10. Formazione periodica

Se hai collaboratori (segretaria, psicologi associati, tirocinanti), la formazione sul trattamento dati è tua responsabilità. Anche una volta all'anno, anche breve. Documenta che è stata fatta.

Cosa NON è cambiato nel 2026

Vale la pena chiarire anche quello che resta come prima, per ridurre l'ansia.

Il consenso al trattamento dei dati sanitari per finalità terapeutica resta non necessario, in base all'art. 9 comma 2 lettera h del GDPR, perché è coperto dalle deroghe per finalità sanitarie. Il consenso informato clinico resta necessario come sempre.

La segretezza professionale resta ancorata al Codice Deontologico. Nessuna tecnologia ti libera da quell'obbligo, anzi, te lo rende più delicato da rispettare.

Le modalità di conservazione su carta sono ancora ammesse. Se tieni le cartelle in un armadio chiuso a chiave in uno studio ad accesso controllato, sei in regola. La digitalizzazione è un'opportunità, non un obbligo.

Dove si colloca un gestionale come GestAI

Quando scegli un gestionale digitale per il tuo studio, stai scegliendo anche il fornitore con cui firmerai il DPA. Verifica sempre questi 4 elementi prima di decidere.

Dove sono i server (UE, possibilmente Italia).
Come sono protetti i dati (cifratura in transito e a riposo).
Cosa fa il gestionale con l'AI (se la usa) e se questo è dichiarato chiaramente.
Se il fornitore offre un DPA pronto all'uso e aggiornato.

In GestAI abbiamo costruito il prodotto con questi criteri fin dall'inizio. I dati stanno in Europa. L'AI che usiamo è dedicata a funzioni organizzative e di supporto documentale, non clinico. La nostra posizione sul ruolo dell'AI nel tuo studio è chiara. Sostituire il giudizio clinico non è il nostro mestiere. Il nostro mestiere è darti meno burocrazia.

Conclusione

Il 2026 porta nuovi strati normativi ma non rovescia il tavolo. Se hai già lavorato bene sul GDPR negli anni scorsi, l'aggiornamento è manutentivo più che rifondativo. La differenza vera la fa l'articolo 13 della Legge 132/2025 sul consenso informato esteso all'AI, perché è il primo pezzo di normativa italiana che regola esplicitamente come i professionisti della salute mentale devono comunicare l'uso della tecnologia ai pazienti.

La checklist sopra è un punto di partenza. Stampala, mettila sulla scrivania, spunta un punto a settimana. Entro l'estate sei in regola con tutto, con calma.

Se vuoi uno strumento costruito con questi criteri in mente, stiamo selezionando 25 terapeuti per il Programma Beta di GestAI. Le candidature sono aperte fino al 18 maggio. Dettagli su www.gestai.it