NEWS

I medici di famiglia devono ‘curare’ non solo la salute dei pazienti, ma anche la loro privacy

Alla maggioranza di noi sarà capitato di chiamare il medico di famiglia sentendosi dire, magari dalla segretaria, di inviare una foto del nostro referto tramite WhatsApp oppure di mandarlo tramite email ad un comune indirizzo di posta elettronica privato, come ad esempio quelli forniti gratuitamente con il servizio Gmail di Google. Questa è ormai l’esperienza comune, soprattutto dopo la pandemia da Covid-19. Per non parlare, poi, dei gestionali attraverso i quali i medici di famiglia organizzano il proprio studio medico, gestionali nei quali vengono caricati una valanga di dati particolari dei singoli pazienti.

Domenico Battaglia

(Nella foto: l'Avv. Domenico Battaglia, delegato Federprivacy nella provincia di Bolzano)

Le deroghe al divieto generale di trattare le cosiddette “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono da individuarsi nell’art. 9 del GDPR che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per (a) motivi di interesse pubblico rilevante, (b) motivi di interesse pubblico nel settore della sanità pubblica e (c) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”).

La fattispecie indicata alla c) del precedente elenco presenta alcune peculiarità. I trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Dunque, il professionista sanitario, soggetto al segreto professionale, non deve richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Questo è vero purché i trattamenti siano “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).

Diverso è il caso della refertazione on line. In relazione alle aziende sanitarie, le disposizioni di settore circa le modalità di consegna del referto (DPR 8 agosto 2013, art. 5) prevedono esplicitamente che le modalità digitali di consegna siano attivate previo esplicito consenso informato dell'interessato. Tale decreto, emanato prima dell’entrata in vigore del GDPR, viene richiamato da Garante in un provvedimento del marzo 2019, nel quale si indica chiaramente che i trattamenti di tale sorta debbono essere effettuati previo consenso esplicito dell’interessato. Quindi, appare evidente che il contesto normativo attuale, siccome richiamato anche dall’Autorità Garante, richieda per il trattamento dei dati sanitari effettuato mediante modalità digitale un autonomo e specifico consenso dell'interessato. L’esperienza ci insegna che, comunemente, ciò non avviene.

I dati sanitari sono informazioni sensibili e rientrano nelle cosiddette “categorie particolari di dati”

Inoltre, la stessa normativa – attualmente in vigore per la refertazione on-line – richiede misure di sicurezza (articolo 6) che passino almeno da sistemi di identificazione e di sistemi di comunicazione sicuri e, ancora, per la consegna tramite posta elettronica devono essere adottate le seguenti cautele: il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio e, inoltre, il referto digitale o la sua copia informatica dovranno essere protetti con tecniche di cifratura e accessibili tramite una password per l'apertura del file consegnata separatamente all'interessato.

Invitare, quindi, i pazienti ad inviare i referti tramite email, rendendo disponibili indirizzi di posta elettronica privati costituisce una palese violazione dei principi del trattamento ed, ancora, delle disposizioni dell’articolo 24 e 32 GDPR. Ancor di più lo è invitare i pazienti ad inviare referti, magari di positività al Covid-19, tramite social WhatsApp.

Solo rammentando che i più grandi provider di posta elettronica, e non solo, utilizzino algoritmi e sistemi automatizzati per analizzare i contenuti dell'utente, ci aiuta a comprendere che l’utilizzo di strumenti poco sicuri per il trattamento di dati di natura personale, senza idonee misure di garanzia, permette che una valanga di dati personali di natura particolare siano alla mercè di molti. Non è “esattamente” quello che vorremmo quando inviamo un referto al nostro medico. Ecco perché è necessario che i nostri medici di famiglia curino non solo la salute dei pazienti, ma anche la loro privacy.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Più sicurezza certo, ma anche meno libertà
Next Il caso della sanzione ad AccorHotels costituisce un'applicazione virtuosa del meccanismo di 'One Stop Shop' previsto dal GDPR

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy