WhatsApp e dati sanitari dei pazienti: rischi e regole

L’utilizzo di WhatsApp nella pratica quotidiana di studi medici, dentisti, farmacie, cliniche, laboratori di analisi, fisioterapisti, psicologi, nutrizionisti e altri professionisti sanitari è ormai diffusissimo per fissare appuntamenti, inviare promemoria o rispondere a domande dei pazienti. Tuttavia, quando si condividono dati sanitari sensibili, la comodità può diventare un rischio serio: l’app di messaggistica, infatti, non è pensata per gestire informazioni cliniche e può comportare perdita di controllo sui dati, backup non controllati su cloud, conservazione su dispositivi personali non sicuri e difficoltà di tracciamento o cancellazione. Anche se è il paziente a scrivere per primo, un consenso informato non garantisce automaticamente conformità al GDPR, perché chi tratta dati sanitari resta titolare del trattamento e deve adottare misure tecniche e organizzative adeguate per proteggerli.
Gli errori nella gestione dei dati possono portare a sanzioni, danni reputazionali e violazioni normative, come evidenziato dal Garante per la protezione dei dati personali.

Perché WhatsApp può essere problematico per i dati sanitari

WhatsApp è uno strumento pensato per uso personale, non per trattare dati sanitari sensibili. I messaggi e i backup possono risiedere su server esterni, non sotto il controllo diretto del professionista, e mancano strumenti standard di tracciabilità, controllo accessi e audit richiesti dal GDPR per i trattamenti critici. Secondo l’articolo 9 del GDPR, il trattamento di dati relativi alla salute è consentito solo se esiste una base giuridica solida (come il consenso esplicito o esigenze di cura con adeguate misure di sicurezza).

L’invio di analisi di laboratorio, diagnosi, referti o immagini cliniche tramite chat non protette non soddisfa questi requisiti e comporta rischi concreti di violazione normativa.

Rischi concreti per i dati dei pazienti

Quando si scambiano informazioni sanitarie tramite strumenti non adeguati, i principali rischi includono:

• Conservazione dei dati su dispositivi personali non protetti, esposti ad accessi non autorizzati;
• Backup automatici su servizi di cloud esterni senza controllo GDPR;
• Errori nell’invio di referti o immagini, o creazione di gruppi con altri pazienti;
• Mancanza di strumenti di audit e registrazione del consenso, necessari per dimostrare conformità normativa.

Il Garante per la protezione dei dati personali ha pubblicato linee guida per app e siti che trattano dati sanitari, ribadendo che ogni trattamento di dati così delicati richiede misure tecniche e organizzative adeguate e valutazioni preventive dei rischi.

Buone pratiche per un uso corretto e conforme al GDPR

Per rispettare il GDPR, è fondamentale distinguere tra comunicazioni di basso rischio (come promemoria di appuntamenti) e trattamenti critici che coinvolgono dati sanitari. Le comunicazioni delicate devono avvenire tramite piattaforme certificate per il settore sanitario, con tracciabilità, accessi controllati e registrazione del consenso informato. Prima di qualsiasi scambio, occorre informare il paziente in modo trasparente e definire procedure interne chiare per la gestione sicura dei dati. La formazione e l’aggiornamento del personale e il rispetto delle indicazioni del Garante sulla gestione digitale dei dati sanitari sono obblighi imprescindibili.

La responsabilità secondo il GDPR e il Garante Privacy

Secondo il GDPR e le linee guida del Garante, infatti, tutte le strutture e i professionisti che trattano dati sanitari devono rispettare le norme, indipendentemente dalle dimensioni dello studio o dall’uso di strumenti digitali. La violazione può comportare sanzioni economiche significative e danni reputazionali, oltre a responsabilità civile verso i pazienti. Di conseguenza, App e siti che trattano dati sanitari devono adottare misure per limitare i rischi di distruzione, perdita o accessi illeciti e valutare gli impatti sulla privacy prima di ogni trattamento.