Identità digitale e identità reale nell’era tecnologica corrispondono. Una sovrapposizione che vale anche in ambito sanitario, in particolare nel rapporto fra medico e paziente. Analizziamo lo scenario alla luce del GDPR e le buone pratiche cui attenersi per arrivare a un’efficace Sanità digitale.
Social e messaging alla prova sanità digitale
Sempre più spesso i social vengono utilizzati per gestire tramite le funzioni di instant messaging il rapporto medico paziente, e quindi una parte fondamentale dell’attività clinica. Non solo: ma sempre più spesso tramite i social il professionista sanitario pubblica informazioni mediche riguardanti i propri pazienti o persino foto o video che ritraggono questi ultimi.
Da un lato la gestione tramite strumenti informatici del rapporto medico paziente, e in particolar modo l’invio – così come la ricezione – da parte del professionista di documentazione sanitaria della persona assistita, pone questioni in termini di privacy e cybersecurity dei dati, così come di responsabilità legale e di etica professionale.
Dall’altro, la pubblicazione sui social network di informazioni ricollegabili a un paziente identificato (o comunque identificabile tramite variabili aggiuntive che spesso il medico sottovaluta) comporta una diffusione di dati particolari ex art. 9 del Regolamento UE 679/2016. Il riferimento non è solo ai dati relativi alla salute ma anche ad informazioni circa le convinzioni religiose del paziente, le quali possono essere ricavate dal rifiuto del medesimo di essere sottoposto a trasfusione, il che rivela verosimilmente la sua appartenza ai Testimoni di Geova.
Profilo privato o pubblico, differenze per la privacy
A tal proposito, senza consenso del paziente e senza la sussistenza di un altro idoneo fondamento giuridico ai sensi del citato art. 9, il trattamento dei dati particolari di un soggetto è illecito, e la sua gravità aumenta ai sensi dell’art. 83 del Regolamento – che stabilisce i criteri per determinare l’importo delle sanzioni – qualora il trattamento illecito consista in una diffusione di dati.
E, a ben vedere, la diffusione riguarda ogni aspetto dell’utilizzo dei social network sulla base del principio per il quale ogni volta che viene pubblicato un contenuto online se ne perde il controllo. Controllo, peraltro, la cui garanzia è alla base del diritto degli interessati alla protezione dei dati personali.
Infatti, a riguardo, è utile precisare che la circostanza che il contenuto venga pubblicato all’interno di un profilo social “privato” (ossia visibile a una cerchia limitata di utenti) e non in un profilo “pubblico” (ovvero visibile indiscriminatamente a chiunque) non esclude la diffusione in luogo della mera, e meno grave, comunicazione dei dati. Basti pensare non solo all’impossibilità di dimostrare che il profilo social è rimasto impostato in modalità privata per tutto il tempo, ma anche alla possibilità, per gli – anche pochi – utenti “amici” abilitati alla visualizzazione del profilo privato, di condividere quei contenuti con una serie indefinita di soggetti o di effettuare uno screenshot che rende foto e informazioni permanenti anche in caso di successiva cancellazione da parte del medico che le aveva inizialmente postate.
La viralità dei contenuti è, inoltre, aumentata dai like degli altri utenti, oltre che dalle loro condivisioni e l’immediatezza che caratterizza l’uso dei social media rende la violazione istantanea e difficilmente rimediabile.
Immagini “sanitarie”: cosa si rischia
Ad essere violato è, in primo luogo, il diritto all’immagine di chi viene ripreso o immortalato, che egli sia un paziente anche un altro medico della struttura, nonché il diritto del medesimo alla protezione dei suoi dati.
Ciò non comporta che l’effettuazione di riprese video o di scatti fotografici sia in via generale vietata, o da vietare, in contesto sanitario, ma che ogni operazione di trattamento sui dati personali dei pazienti o in generale del personale sanitario, che sia girare un filmato o scattare delle foto, debba essere strettamente legata a una finalità ben esplicitata e che quest’ultima debba essere sorretta da un fondamento giuridico.
L’utilizzo delle immagini di pazienti può, infatti, rientrare all’interno di iniziative promozionali e divulgative o di marketing sanitario della struttura, ma anche semplicemente volte a diffonderne la mission. In questi casi è necessario acquisire il consenso di chi viene ritratto dopo avergli fornito la relativa informativa contenente tutti requisiti dell’art. 13 del Regolamento, compresa l’elencazione specifica dei diritti di cui beneficia.
A tal proposito, nell’informativa deve essere specificato che l’esercizio del diritto di cancellazione può risultare tecnicamente difficile e che, ancor più, è impossibile da soddisfare con ragionevole certezza per via della citata perdita di controllo su quanto viene immesso in rete. È, inoltre, fondamentale informare il paziente del suo diritto a non acconsentire all’utilizzo delle proprie immagini per finalità promozionali, specificando che una tale scelta non pregiudica in alcun caso la possibilità per il paziente stesso di usufruire della prestazione sanitaria.
Quando la foto fa capire l’identità del paziente
Differente è il caso del medico che, al di fuori della suddetta ipotesi, posta sui social network foto dei pazienti che, anche se non sono identificati tramite il nome e cognome o l’immagine del volto, possono essere identificati tramite l’incrocio di diversi dati: come la struttura sanitaria, la data del ricovero o comunque del suo accesso al luogo di cura, e determinate caratteristiche della persona assistita.
In tal caso viene infatti a mancare la liceità del trattamento dei dati personali, comportando come conseguenza una violazione non solo del Regolamento 679/2016 ma anche dell’obbligo di non rivelare informazioni coperte dal segreto professionale di cui venga a conoscenza nell’esercizio della professione e del dovere di riservatezza previsti dal codice di deontologia medica.
A ciò è opportuno aggiungere che la morte del paziente non esime il medico dal dovere di ottemperare al segreto professionale: di conseguenza, postare sui social media informazioni relative alla salute di pazienti deceduti, comprese immagini di cadaveri di pazienti defunti, comporta come ovvio un illecito.
Utilizzo scorretto del social in corsia
Se, da un lato, il soggetto vulnerabile è il paziente, dall’altro non va sottovalutata la circostanza che l’utilizzo scorretto dei social in corsia possa svolgersi anche in danno dei professionisti sanitari stessi. Si pensi al medico che lede la reputazione di un altro professionista suo collega pubblicando un post offensivo su Facebook o Twitter, commettendo pertanto il reato di diffamazione aggravata dal mezzo utilizzato, ai sensi del secondo comma dell’art. 595 del codice penale.
Come per ogni tipologia di utilizzo che viene fatto dei social, anche per l’impiego da parte dei medici, che agiscono come utenti del web, ma che rimangono pur sempre vincolati al rispetto del decoro e all’obbligo di salvaguardia del prestigio professionale, oltre che di norme cogenti a tutela dell’immagine e della privacy, è necessaria la consapevolezza.
Per questo motivo è opportuno che tutte le strutture sanitarie, ad ogni livello, si dotino di regolamenti interni che sottolineino l’importanza di un utilizzo corretto dei social network, vietandone, in particolare, l’utilizzo a determinati fini e in determinati contesti. È, infine, indispensabile, che a queste regole scritte si abbinino dei mirati percorsi di formazione di tutto il personale sanitario.
