Lo studio chiude, ma continui a usare il telefono a casa? Attenzione ai dati dei pazienti
Share
Lo studio chiude, ma continui a usare il telefono a casa? Attenzione ai dati dei pazienti
Smartphone e tablet accompagnano medici, farmacisti e operatori sanitari ben oltre l'orario di lavoro. Ma quando il dispositivo utilizzato per l'attività professionale entra nella sfera privata, anche i dati dei pazienti escono dallo studio. Comprendere i rischi e adottare comportamenti consapevoli è oggi parte integrante della tutela della privacy
La giornata lavorativa è finita, lo studio medico ha chiuso, la farmacia ha abbassato la serranda e il professionista sanitario torna finalmente a casa. Eppure, c'è uno strumento che continua a essere operativo: lo smartphone. Sul display compaiono nuove e-mail, notifiche del gestionale, richieste di appuntamento, messaggi dei pazienti, a volte persino fotografie cliniche o referti medici da consultare. È una scena ormai familiare, resa possibile dalla trasformazione digitale che ha interessato l'intero settore sanitario.
Negli ultimi anni, infatti, i dispositivi mobili sono diventati un'estensione naturale dell'attività professionale. Consentono di lavorare con maggiore flessibilità, di rispondere rapidamente alle esigenze organizzative e di mantenere un contatto costante con collaboratori e pazienti. Tuttavia, questa continuità operativa porta con sé una domanda che raramente ci si pone: quando il telefono esce dallo studio, anche i dati personali dei pazienti continuano a viaggiare con lui?
È un interrogativo che riguarda non soltanto la tecnologia, ma anche il modo in cui ogni professionista gestisce quotidianamente strumenti che, a tutti gli effetti, partecipano al trattamento di dati appartenenti a una delle categorie più delicate previste dal GDPR: i dati relativi alla salute.
Lo smartphone non è più un semplice telefono, ma uno strumento di trattamento dei dati sanitari
Per molti anni il trattamento dei dati sanitari è stato associato esclusivamente al computer dello studio, al server aziendale o all'archivio cartaceo. Oggi questa visione non è più sufficiente. Lo smartphone consente di accedere ai software gestionali, visualizzare calendari, consultare documentazione clinica, ricevere comunicazioni dai pazienti e autenticarsi ai servizi digitali della struttura sanitaria. In alcuni casi conserva direttamente e-mail, immagini diagnostiche, documenti PDF o copie temporanee di referti clinici.
Questo significa che il dispositivo mobile non rappresenta soltanto uno strumento di comunicazione, ma costituisce un vero e proprio punto di accesso alle informazioni sanitarie. Di conseguenza, deve essere considerato all'interno delle misure organizzative e tecniche adottate dal titolare del trattamento.
Il Regolamento (UE) 2016/679 è molto chiaro sotto questo profilo: il titolare deve valutare i rischi del trattamento e adottare misure adeguate per garantire la sicurezza dei dati, indipendentemente dal supporto attraverso cui vengono trattati. Non esiste quindi una distinzione tra il computer presente nello studio e il telefono utilizzato fuori dall'orario di lavoro; se entrambi consentono di accedere ai dati dei pazienti, entrambi devono garantire un livello di protezione adeguato.
Il vero rischio non è soltanto il furto del dispositivo
Quando si parla di sicurezza informatica si immagina quasi sempre un attacco hacker o il furto di un telefono. In realtà, nella pratica quotidiana di uno studio medico o di una farmacia, le situazioni di rischio sono spesso molto più ordinarie. Può accadere che il telefono venga lasciato sul tavolo mentre sullo schermo compare una notifica con il nome di un paziente; che un familiare lo utilizzi per effettuare una telefonata; che venga collegato a reti Wi-Fi non protette durante un viaggio oppure che rimanga incustodito in un luogo pubblico. Sono comportamenti apparentemente innocui che, però, possono consentire la visualizzazione o l'accesso a informazioni che dovrebbero rimanere riservate.
Il Garante per la protezione dei dati personali, nelle proprie Linee guida dedicate ai referti online, richiama espressamente l'attenzione sulla necessità di adottare misure di sicurezza idonee a impedire accessi non autorizzati ai dati sanitari e sottolinea come la trasmissione e la consultazione delle informazioni cliniche debbano avvenire attraverso modalità adeguatamente protette. Sebbene il provvedimento riguardi i referti online, i principi espressi sono perfettamente applicabili anche ai dispositivi mobili che consentono di accedere agli stessi dati.
La casa non è automaticamente un ambiente sicuro
È naturale pensare che l'ambiente domestico sia un luogo protetto. Dal punto di vista della protezione dei dati, tuttavia, non è necessariamente così. Quando uno smartphone contiene dati sanitari o permette di consultarli, continua a essere uno strumento di lavoro anche mentre si trova sul tavolo della cucina o sul comodino.
Una semplice notifica visibile sulla schermata di blocco potrebbe rivelare il nominativo di un paziente, l'esito di un esame o la disponibilità di un referto. Allo stesso modo, la condivisione occasionale del dispositivo con un familiare o con un'altra persona può determinare un accesso non autorizzato a informazioni particolarmente delicate.
Il principio che emerge sia dal GDPR sia dai provvedimenti del Garante è che la tutela dei dati sanitari non dipende esclusivamente dalla presenza di software avanzati, ma dall'insieme delle misure organizzative adottate dal titolare del trattamento. In altre parole, la sicurezza non termina quando si esce dallo studio, ma accompagna il dato personale ovunque esso venga trattato.
La tecnologia aiuta, ma sono i comportamenti quotidiani a fare la differenza
La crescente digitalizzazione della sanità ha reso indispensabili strumenti sempre più evoluti, ma nessuna tecnologia è sufficiente se non viene accompagnata da comportamenti corretti e coerenti. Aggiornare regolarmente il sistema operativo, utilizzare sistemi di autenticazione efficaci, evitare di archiviare inutilmente documentazione sanitaria sul dispositivo o limitare la visualizzazione delle notifiche sono esempi di misure che contribuiscono concretamente a ridurre il rischio di violazioni.
Il GDPR introduce il principio di accountability, attribuendo al titolare del trattamento la responsabilità di dimostrare di aver adottato misure adeguate rispetto ai rischi. Questo significa che la protezione dei dati non può essere affidata esclusivamente agli strumenti informatici, ma richiede anche procedure interne, formazione del personale sanitario e una maggiore consapevolezza nell'utilizzo dei dispositivi mobili.
In un contesto in cui smartphone e tablet sono diventati parte integrante dell'organizzazione sanitaria, la sicurezza non si misura soltanto con l'efficacia dei sistemi informatici, ma anche con la capacità di trasformare le buone pratiche quotidiane in una componente stabile della cultura organizzativa. È proprio questa attenzione ai comportamenti che consente di proteggere i dati dei pazienti e, allo stesso tempo, di rafforzare il rapporto di fiducia che rappresenta uno degli elementi fondamentali dell'attività sanitaria.
Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti