Invio di referti via email o Whatsapp: come si tutela la privacy del paziente?
Nell'era della digitalizzazione, medici e strutture sanitarie comunicano sempre più spesso con i pazienti tramite WhatsApp o email. Ma siamo sicuri che la Privacy venga tutelata?
I rischi dei canali WhatsApp o email
Oggi, è sempre più comune vedere medici e strutture sanitarie comunicare con i pazienti tramite WhatsApp o email, inviando comodamente referti in un semplice messaggio, ma i dati sanitari sono tra le informazioni più sensibili e la loro protezione è rigorosamente tutelata dal Regolamento Generale sulla Protezione dei Dati (GDPR). Un uso disinvolto di questi canali, infatti, espone ad enormi rischi, tra cui possibili violazioni della normativa GDPR, e - non meno importante - una perdita di fiducia da parte dei pazienti.
GDPR e dati sanitari: perché la riservatezza è fondamentale
I dati sanitari rientrano tra le “categorie particolari di dati personali” identificate dal GDPR, e quindi meritevoli di tutela rafforzata secondo il principio di integrità e riservatezza che impone che i dati personali vengano salvaguardati in modo da garantire un’adeguata protezione da accessi non autorizzati o illeciti.
Secondo un’analisi dell'Agenzia Europea ENISA, il Settore Sanitario è effettivamente uno dei più colpiti da violazioni di dati, con 215 violazioni pubbliche riportate tra il 2021 e il 2023. Il 46% degli incidenti informatici riguardi data breach, cioè minacce all’integrità dei dati, mentre il 30% degli attacchi informatici mirino specificamente ai dati dei pazienti, dati che hanno un alto valore per i criminali.
WhatsApp ed email nella comunicazione medico-paziente
La ragione principale del successo di WhatsApp nella comunicazione sanitaria è legata alla sua immediatezza, semplicità di utilizzo e diffusione capillare sugli smartphone.
Secondo un Sondaggio condotto nel 2022 dall’Ordine dei Medici di Firenze insieme al DataLifeLab (Università di Firenze), i medici utilizzano Whatsapp nell’84,3% dei casi. Altri canali molto usati sono gli SMS (50,9%), email (6,6%), o app di messaggistica alternative quali Telegram o Facebook (14,5%).
Nello specifico, WhatsApp viene utilizzato per tanti motivi diversi tra loro:
Per il 56,1% dei professionisti, per scambiarsi informazioni cliniche sui pazienti;
Per il 53,9% dei professionisti, per comunicare con i pazienti su responsi clinici;
Nel 42% dei casi, per valutare esami e fornire consigli terapeutici a distanza;
Per il 40% dei professionisti, per gestire gli appuntamenti;
Per il 20,7% dei professionisti, per inviare prescrizioni.
Nonostante le conversazioni cifrate end-to-end, o la protezione con password, l'utilizzo della posta elettronica o di WhatsApp presenta rischi significativi in termini di Privacy dei dati sanitari, soprattutto se si tratta di un’app di proprietà di una Big Tech extra-europea che potrebbe non rispettare GDPR europeo.
Alcuni casi reali di danni e conseguenze
Numerosi casi in in Europa mostrano concretamente cosa può succedere quando i dati sanitari non sono adeguatamente protetti nelle comunicazioni. In tal senso, due casi sono particolarmente emblematici:
L’Ospedale britannico NHS Lanarkshire ha subito un data breach, tra l’aprile 2020 e l’aprile 2022, poiché 26 dipendenti avevano avuto accesso ad un gruppo WhatsApp, approvato e limitato all’utilizzo relativo alla pandemia da Covid-19, per scambiarsi comunicazioni di servizio - gruppo utilizzato successivamente anche per la condivisione di dati personali dei pazienti. In questo caso l’ICO (Autorità Garante UK) è intervenuta emettendo un severo ammonimento all’ente sanitario che ha fatto scuola a livello europeo, spingendo tutte le organizzazioni a rivedere le proprie policy sull’uso di app di messaggistica al fine di evitare episodi analoghi.
L’AUSL Emilia-Romagna nel 2021 è stata sanzionata dal Garante Privacy italiano per un valore di € 50.000 per la violazione dei dati di un paziente, le cui informazioni cliniche riservate sono state comunicate ai famigliari nonostante l’esplicita negazione al consenso della condivisione.
Questi sono solo alcuni esempi di data leak, in cui le conseguenze possono variare tanto quanto le sanzioni economiche - che possono arrivare fino a decine di migliaia di euro - e gli impatti reputazionali, con conseguente danno di immagine e perdita di fiducia dei pazienti.
Cosa dicono le autorità: linee guida e avvertimenti
Negli ultimi anni, data anche l’emergenza sanitaria derivante dalla pandemia da Covid-19, le Autorità Garanti Europee hanno iniziato ad autorizzare l’uso di canali digitali sicuri per la dematerializzazione delle ricette come il Fascicolo Sanitario Elettronico, PEC, SMS o email.
È il caso dell’Italia, dove il Garante per la Protezione dei Dati Personali ha pubblicato un recente provvedimento, n. 620 del 17 ottobre 2024 (disponibile qui), fornendo indicazioni precise sull’invio di referti medici digitali via e-mail. Tra queste:
Inviare il referto come allegato e non nel corpo dell’e-mail;
Proteggere il file con password o crittografia, comunicata separatamente;
Verificare preventivamente l’indirizzo e-mail del destinatario per evitare errori.
A livello Europeo, invece, l’ENISA e la Commissione Europea promuovono una maggiore sicurezza nel trattamento dei dati sanitari, con iniziative come lo Spazio Europeo dei Dati Sanitari (EHDS) e la direttiva NIS2 (2022/2555), che impone requisiti di cybersicurezza più stringenti anche per strutture sanitarie e ospedali.
Dalle code allo sportello alla consegna digitale: le modalità sicure per ricevere i documenti sanitari
Fino a pochi anni fa, l’unico modo per ottenere i propri referti medici era recarsi fisicamente presso l’ambulatorio, affrontando code, orari limitati e disagi. Questo metodo, seppur sicuro, richiede tempo ed energie.
Una soluzione intermedia è rappresentata dall’invio dei documenti via e-mail protetta o tramite portali dedicati, quali il Fascicolo Sanitario Elettronico con credenziali di accesso personali e SPID. Questi strumenti offrono un livello discreto di sicurezza, ma spesso risultano complessi da utilizzare, sia per i pazienti che per le strutture.
Oggi, grazie all’innovazione digitale, è possibile scegliere modalità ancora più sicure ed efficienti. Piattaforme come RefertoSicuro consentono la trasmissione dei documenti sanitari attraverso canali cifrati, garantendo l’accesso esclusivo al solo destinatario. Tra le misure di protezione adottate vi sono: autenticazione tramite password, codice OTP, scadenza automatica dei link e monitoraggio degli accessi.
L’adozione di RefertoSicuro è estremamente semplice: non richiede modifiche operative da parte di medici o strutture sanitarie, ma si integra facilmente come canale digitale alternativo. Il risultato è un processo rapido, intuitivo e conforme al GDPR, che protegge i documenti sin dalla loro creazione fino alla consultazione da parte del paziente.
Conclusione: Privacy e innovazione possono convivere
La digitalizzazione della Sanità offre grandi opportunità, ma richiede Responsabilità. Canali come WhatsApp o l’e-mail semplificano la comunicazione, ma espongono a rischi se usati senza criterio. La conformità al GDPR non è un optional: è essenziale per tutelare pazienti e strutture sanitarie.
Investire in soluzioni sicure e formare il personale è il passo decisivo per garantire un’assistenza competitiva, efficace e rispettosa della Privacy, poiché proteggere i dati significa proteggere la relazione di fiducia con il paziente.