Consulti online: i medici rischiano pesanti sanzioni

Era il 20 maggio 2019, un anno fa. Da quel giorno sono scattati per le aziende e le PA gli adempimenti alle disposizioni regolamentarie sulla privacy e a sostenere eventuali controlli o ispezioni da parte dell’Autorità. In questo contesto un ruolo fondamentale lo svolgono app, messaggi e videochiamate che piacciono a medici e pazienti perché creano un rapporto diretto, riducono i tempi d'attesa e cancellano la burocrazia: la prova è arrivata durante la quarantena con un'impennata di webinar, consulti telefonici e online. "Ma attenzione, senza le dovute cautele, si può compromettere un bene prezioso, il cui valore è ancora sottovalutato, i dati personali e sanitari del paziente".

A lanciare l'allarme è Consulcesi: "Il rischio per i professionisti sanitari è molto alto perché sono i depositari dei dati sensibili che secondo il Regolamento generale per la protezione dei dati GPDR sono sottoposti a tutela particolarmente severa. In caso di errato trattamento, le sanzioni potrebbero arrivare fino 20 milioni di euro o, se superiore, fino al 4% del fatturato globale", chiarisce Ciro Galiano, avvocato esperto in privacy e digitale. Ci sono alcune strade da seguire per tutelare la privacy dei pazienti: se il medico ha introdotto nuovi sistemi di comunicazione, prima di utilizzarli deve applicare una nuova informativa per la tutela dei dati e aggiornare i documenti relativi alla gestione della privacy e del consenso informato. Verificare se i software informatici utilizzati sono a norma, nonché controllare il sistema di protezione antivirus e dei programmi, ma soprattutto accertare l'adeguatezza della documentazione rilasciata al cliente.

Sarebbe preferibile l'utilizzo di app di messaggistica istantanea dedicate. Infine, sarebbe buona prassi che i medici che vogliano utilizzare i social media facciano attenzione nel dare consigli tramite social, che abbiano una gestione attenta delle opzioni di privacy delle piattaforme e ne leggano attentamente i termini contrattuali". In effetti ai pazienti piace utilizzare Whatsapp perchè "permette un supporto diretto e continuo del medico". Ai medici dà la possibilità, in maniera crescente, "di monitorare gli effetti di una terapia prescritta". Il contatto "sincrono, tramite app di messaggistica istantanea in medicina può essere molto, molto importante". Ma c'è tuttavia un problema : "I dati di Whatsapp sono di proprietà di Facebook e vengono memorizzati sui server al di fuori dell' Unione Europea, il che risulta in contrasto con le norme sul trattamento dei dati (Gdpr) in vigore da maggio 2018". Dà una visione d' insieme all' Agenzia Dire Marco Masoni, del dipartimento di medicina sperimentale clinica dell' Università di Firenze, specializzato nel campo dell' Ict in medicina a partire dagli anni 2000.

Gli obblighi del medico

A seguire una breve scheda riassuntiva sugli obblighi a cui è tenuto il medico

Consenso necessario

1. • trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
   • trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale ;
   • trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (esempi: promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
   • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
   • trattamenti effettuati attraverso il Fascicolo sanitario elettronico (dl 179/2012, articolo 12, comma 5): l’obbligo è stabilito da disposizioni precedenti al GDPR. «Un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo – si legge nel provvedimento -, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati»;
   • refertazione on line.

In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Nel dettaglio, le informazione vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».

I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La nomina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.

C’è invece per tutti l’obbligo di tenere un registro dei trattamento effettuate sui dati dei pazienti, che costituisce «un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio» e di conseguenza non prevede esoneri.