L’Autorità Garante per la Protezione dei Dati Personali ha ritenuto opportuno intervenire in merito ai trattamenti di dati personali compiuti con app e piattaforme digitali, attività spesso direttamente offerte ai pazienti o ai professionisti sanitari tramite campagne pubblicitarie mirate e compiute all’interno di studi medici, farmacie e ambulatori e che possono presentare notevoli insidie.
Attraverso tali piattaforme possono essere oggetto di trattamento sia dati personali, che i dati di salute, appartenenti a categorie particolari, allo scopo di semplificare e favorire i contatti dei professionisti della salute e tra questi e i pazienti.
Spesso, tuttavia, il Garante ha riscontrato una scarsa trasparenza nelle informazioni da fornire agli interessati in merito ai diversi attori del trattamento alle modalità, al ruolo da questi assunto, alle modalità ed ai tempi di conservazione dei dati, problematiche di non poco conto, visto che i fornitori delle necessarie tecnologie possono agire anche al di fuori dei confini dell’UE e per finalità diverse da quelle per le quali è originariamente offerta la piattaforma, non ultime le finalità di ricerca e sviluppo.
Trattamento dati in sanità digitale: il compendio del Garante
Con l’ultima newsletter del 28 marzo 2024, il Garante ha messo a disposizione un documento sistematico per informare professionisti sanitari, pazienti e vendor di app e siti che offrono a utenti e a medici svariati servizi quali la scelta del professionista, la prenotazione delle visite, l’invio e l’archiviazione di documenti sanitari sulle misure tecniche ed organizzative che i gestori ed i fruitori di tali sistemi devono osservare.
Il compendio, suddiviso in dieci capitoli,“… fornisce chiarimenti con riferimento a tre macro tipologie di dati personali oggetto di trattamento, quelli personali dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); i dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti) ed i dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).
Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio dell’Autorità identifica in estremo dettaglio le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo ai gestori ed ai fruitori dei siti e app, ricordando la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.
Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo, così come previsto dall’articolo 35 del Regolamento EU 2016/679 una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Un paragrafo, infine, è dedicato alle informative da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, non soltanto devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili, ma anche stratificate e progressive, tali da consentire agli utenti della piattaforma di consultare le relative specifiche sezioni di interesse e di usufruire consapevolmente dei servizi da questa offerta.
I precedenti: il caso del Regno Unito
Il documento adottato dall’Autorità, di estremo interesse per impostare correttamente una serie di servizi offerti ormai con frequenza ai professionisti sanitari per facilitare e velocizzare la relazione con i propri pazienti non è il primo approccio, a livello europeo, alla tematica delle comunicazioni tra professionisti della salute e pazienti.
A tal proposito infatti merita di essere ricordato che l’Autorità di controllo del Regno Unito (ICO), era già intervenuta nell’agosto 2023, dopo aver riscontrato, a seguito di una notifica di Data Breach, che tra l’aprile 2020 e l’aprile 2022, 26 dipendenti dell’NHS Lanarkshire avevano avuto accesso, in più di 500 occasioni, a un gruppo WhatsApp in cui erano stati inseriti e condivisi i dati personali dei pazienti, compresi nomi, numeri di telefono e indirizzi, immagini, video e screenshot che includevano informazioni cliniche.
In quell’ipotesi, l’uso di WhatsApp era stato approvato dal datore di lavoro dei professionisti, tenuto conto della pandemia Covid19, perché i dipendenti dell’Azienda potessero, limitatamente a tale periodo, scambiarsi attraverso tale sistema di messaggistica le sole comunicazioni di servizio.
Quegli stessi dipendenti non erano stati invece autorizzati ad usarlo per la condivisione di dati personali degli interessati, e in particolare di quelli appartenenti a categorie particolari.
Senza entrare nel merito dei contenuti del provvedimento dell’ICO, merita particolare considerazione la riflessione condivisa in tale occasione da John Edwards, Information Commissioner: “I dati dei pazienti sono informazioni altamente sensibili che devono essere gestite con attenzione e sicurezza. Quando accedono all’assistenza sanitaria e ad altri servizi vitali, le persone devono avere fiducia che i loro dati siano in mani sicure. […] Ogni organizzazione sanitaria dovrebbe considerare questo caso come una lezione da imparare e considerare le proprie politiche quando si tratta di app di messaggistica e di trattamento delle informazioni sui pazienti”.
Comunicazione e confidenzialità nelle relazioni medico-paziente
L’utilizzo di strumenti di messaggistica e di applicazioni per favorire la comunicazione dei professionisti sanitari e tra questi e i pazienti non può, oggettivamente, definirsi a priori come una attività inutile o dannosa, ma è necessario che questo sia regolamentato e gestito con strumenti dotati di apposite misure di sicurezza tali da proteggere in modo adeguato, in particolare, le informazioni sulla salute degli interessati.
Il ridotto numero complessivo dei professionisti sanitari, e, in particolare dei Medici di Medicina Generale è ormai considerato, rilevazioni alla mano, come un dato accertato e la possibilità di fornire riscontro ai bisogni di salute della popolazione con strumenti che offrano una comunicazione rapida, sicura e a distanza può essere considerato come un valido supporto alla pratica clinica.
Le implicazioni contrattuali e medico-legali dell’uso di strumenti digitali
I professionisti sanitari, tuttavia, oltre a dover considerare i vantaggi (riduzione degli accessi ai luoghi di cura, riduzione degli spostamenti di pazienti fragili…) prima di utilizzarli devono considerare ulteriori elementi critici, che si sommano ai profili rilevanti per la disciplina dei dati personali, che accomunano gli strumenti di mera comunicazione con i ben più complessi e articolati strumenti di telemedicina:
- sul piano contrattuale, il ricorso a strumenti di comunicazione digitale sincroni espone i professionisti sanitari al rischio di dover essere sempre contattabili sebbene debba essere garantita la tutela di un “diritto alla disconnessione” e a prescindere dalla sussistenza di un concorrente dovere di garantire la c.d. “pronta disponibilità”;
- le prestazioni rese con applicazioni o con chat da parte dei medici rischiano di non essere valorizzate economicamente, specie in un’ottica di gestione delle risorse pubbliche e di rendicontazione delle prestazioni sanitarie;
- nel caso di professionisti sanitari, non è chiaro se sussista un obbligo etico –deontologico di rispondere sempre e comunque alle richieste dei pazienti, che possono rappresentare situazioni di urgenza/emergenza (che richiederebbero un tempestivo intervento) né se si possa ritenere che una relazione di cura possa efficacemente realizzarsi a distanza;
- sul piano medico legale il valore delle informazioni trasmesse ai fini della decisione di natura clinica che sarà assunta, deve essere tenuta in attenta considerazione. Nel caso in cui paziente ritenesse di condividere documentazione sanitaria con il professionista, questa deve presentare caratteristiche di chiarezza, qualità e leggibilità tali da consentire una chiara lettura e interpretazione;
- sul piano documentale per effetto della Sent. Corte Costituzionale, 27 luglio 2023, n. 170, il concetto di «corrispondenza» è stato ritenuto idoneo a comprendere ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza[1]. All’interno della “corrispondenza”, tutelata come tale all’art. 15 Cost., va dunque ricompresa anche la chat o la messaggistica digitale. Tali strumenti sono altresì idonei a formare un documento informatico definito dal D.lgs. 82/05 e ss.mm.ii. come “rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” in contrapposizione al documento analogico (definita per esclusione come la “rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti”).
Tutti questi profili devono essere attentamente valutati dai professionisti, contestualmente a quelli relativi alla data protection, bilanciando accuratamente i rischi e i benefici offerti dalla tecnologia utilizzata.
Conclusioni
Come possibile suggerimento, si condivide la riflessione di quanti ritengono che, in generale, anche al fine di non ingenerare aspettative nei pazienti, dovrebbe essere precisato che lo scambio realizzato attraverso strumenti di comunicazione e chat digitali non dovrebbe mai sostituire il contatto diretto e, in particolare la visita medica, specie nei casi in cui sia necessario un vero e proprio processo diagnostico o una presa in carico complessiva dei bisogni di salute.
Note
[1] M. Borgobello, Il concetto di “corrispondenza” nella sentenza 170 del 2023 della Corte costituzionale, in Giurisprudenza Penale Web, 2023, 7/8