Clinica privata polispecialistica Roma 80 operatori: Microsoft Purview per compliance art. 9 GDPR sanitario

Implementazione 12 mesi strutturata in 4 fasi su stack Microsoft 365 E5 + Purview + Defender XDR + Intune + Entra ID P2.

Fase 1 (mesi 1-3) — Discovery e foundation:

• DPO assessment con audit pre-progetto: identificate 47 finding critici (file con dati pazienti accessibili in shared cartelle senza permissions, email mediche non cifrate, device personali medici con dati pazienti sincronizzati)
• Upgrade tenant Microsoft 365 da Business Standard a E5 (80 utenti × ~50 EUR/u/m = 48.000 EUR/anno baseline)
• Microsoft Entra ID P2 + MFA enforcement: tutti i 80 operatori migrati a MFA app-based (FIDO2 chiave hardware per medici primari) in 6 settimane
• Conditional Access policies: accesso a dati pazienti solo da device compliant Intune + MFA + posizione geografica EU

Fase 2 (mesi 4-6) — Microsoft Purview Information Protection:

• 5 sensitivity labels clinical-specific deployed:
• Pubblico: documenti marketing, sito web, comunicazioni Ente
• Interno operativo: procedure aziendali, comunicazioni staff non-sanitarie
• Riservato sanitario: cartelle cliniche standard (default per tutto cio che e in cartella paziente)
• Strettamente riservato — dati psichiatrici/HIV/genetici: regime rafforzato per dati art. 9 lett. C+G GDPR (encryption obbligatoria, no condivisione esterna possibile, audit trail enhanced)
• Riservato — procedure giudiziarie/medico-legali: per casi con CTU, CTP, perizie
• Auto-labeling AI-driven Purview Plan 2: parole chiave + Italian Patient Information detection → auto-classification
• DLP policies: blocco upload su servizi cloud personali (Dropbox personale, Google Drive personale, WeTransfer), blocco invio email con dati pazienti a destinatari extra-dominio non whitelisted

Fase 3 (mesi 7-9) — Defender XDR + Intune MDM:

• Defender for Endpoint Plan 2 su tutti i 95 device aziendali (80 + 15 backup): EDR + threat & vulnerability management + AIR (Automated Investigation Response)
• Defender for Office 365 Plan 2: anti-phishing AI avanzato, Attack Simulator per training trimestrale staff
• Microsoft Intune MDM su 35 device medical (laptop + tablet referti): cifratura BitLocker, PIN obbligatorio, conditional access, remote wipe abilitato. Device personali medici BYOD: ammessi solo se enrolled Intune Personal
• Insider Risk Management con E5: detection comportamentale (data exfiltration, accesso anomalo cartelle pazienti, download massivi)

Fase 4 (mesi 10-12) — eDiscovery, retention, audit governance:

• eDiscovery Premium setup per richieste legali / pazienti GDPR right-to-access
• Retention policies: cartelle cliniche 10 anni (obbligo normativo), email amministrative 5 anni, dati psichiatrici 20 anni (regola specifica)
• Audit log Microsoft Purview centralizzato, retention 10 anni accessibile DPO + management
• Customer Lockbox attivato: nessun ingegnere Microsoft puo accedere a dati clinica senza esplicita approvazione DPO

Change management cruciale: 12 ore di formazione per medici (resistenza iniziale alta), 6 ore per amministrativi, 4 ore session ricorrenti trimestrali. Coordinazione con DPO esterno per documentazione DPIA + Registro Trattamenti aggiornato.

Audit ATS Lazio Region (mese 13): superato con zero finding critici (vs 47 pre-progetto). Audit DPO esterno: certificazione formale compliance art. 9.

Setup totale: 110 giornate SynSphere distribuite 12 mesi + ~80 ore IT clinica + 30 ore DPO esterno.