Cartelle cliniche digitali: sei davvero a norma con la legge sulla privacy?
Dati sanitari e privacy
Nell’era digitale, i dati sanitari sono tra le informazioni più delicate che trattiamo. Rappresentano molto più di un fascicolo clinico: racchiudono la storia personale, i dati, i bisogni di cura delle persone. Per questo, la loro protezione non è solo un dovere legale, ma una responsabilità etica profonda. La regolamentazione deve essere lo strumento per bilanciare la tutela della riservatezza degli individui con le esigenze di trasparenza e avanzamento della ricerca scientifica.
Negli ultimi mesi, il Garante per la Protezione dei Dati Personali ha affrontato due casi esemplari che toccano da vicino il lavoro di chi opera nella salute e nella relazione d’aiuto. In questo articolo li esploriamo insieme, per comprendere cosa significano – davvero – privacy, dignità e cura nella gestione dei dati.
Il Garante e la tutela della riservatezza in ambito sanitario
Due provvedimenti recenti – dell’11 aprile e del 9 maggio 2024 – raccontano molto del ruolo attivo dell’Autorità nel proteggere la dignità delle persone, anche quando le intenzioni di chi ha diffuso i dati erano animate da fini apparentemente nobili. I casi riguardano:
La pubblicazione non autorizzata di immagini e informazioni sanitarie sui social media.
Il trattamento di dati sanitari per fini di ricerca senza consenso informato.
Quando condividere fa male: il caso della diffusione illecita online
Nel primo caso, il 7 aprile 2020 una madre ha iniziato a pubblicare foto e dettagli sulla grave condizione di salute della figlia, con l’intento di sensibilizzare l’opinione pubblica. Ma quella condivisione – senza consenso – ha rappresentato una violazione della sua dignità e riservatezza.
Il Garante ha richiamato con forza alcuni principi fondamentali del GDPR:
Liceità, correttezza, trasparenza nel trattamento (art. 5 GDPR).
Rispetto della riservatezza anche a fini giornalistici (art. 137-139 Codice Privacy).
Tutela della dignità, soprattutto in situazioni di fragilità, come previsto dalle Regole deontologiche.
Le sanzioni imposte (divieto di ulteriore diffusione, ammonimento) sono state commisurate all’impatto, ma hanno chiarito un punto essenziale: la buona fede non giustifica la violazione della privacy. Anche quando parliamo di dolore o malattia, la dignità della persona deve restare al centro.
Ricerca e consenso: un equilibrio delicato
Il secondo caso riguarda un istituto che ha trattato dati sanitari per fini di ricerca scientifica, senza aver raccolto un consenso esplicito da parte degli interessati.
In alcune situazioni, il nostro ordinamento lo consente – ad esempio quando è impossibile contattare le persone coinvolte – ma solo a precise condizioni:
Valutazione d’impatto obbligatoria (art. 35 GDPR).
Parere di un comitato etico indipendente.
Documentazione dettagliata che giustifichi l’assenza di consenso.
Adozione di regole deontologiche aggiornate (art. 110 Codice Privacy).
Il messaggio del Garante è chiaro: la scienza è fondamentale, ma non può avanzare a scapito dei diritti individuali. Anche quando il consenso non è richiesto, servono rigore, trasparenza e rispetto. Elementi evidenziati anche all’interno del codice deontologico degli psicologi.
Cosa cambia per i professionisti?
Se sei un terapeuta, un medico o un ricercatore, questi provvedimenti ti riguardano da vicino. Non solo per gli obblighi normativi, ma per il patto di fiducia che ogni giorno stringi con chi si affida a te.
Sicuramente l’esperienza è un elemento a tuo vantaggio, ma non bisogna mai dimenticarsi certi elementi come:
Trattare ogni informazione sanitaria come un bene prezioso.
Chiedere sempre un consenso informato, chiaro e specifico.
In caso di dubbio, confrontarsi con il responsabile della protezione dei dati.
Ricordare sempre che anche la pubblicazione a fini di sensibilizzazione ha dei limiti: la privacy non è negoziabile.
Il digitale rappresenta quindi una nuova sfida
Il digitale pone nuove sfide sicuramente, ma ci offre anche strumenti per migliorare la cura e la relazione. La protezione dei dati non è un ostacolo, ma un alleato per lavorare in modo più etico, rispettoso e umano.
Il ruolo del Garante è, in questo, essenziale: non solo per vigilare, ma per guidare verso un uso corretto delle tecnologie e una cultura della privacy che metta davvero la persona al centro.
Un elemento esemplificativo è la cartella clinica digitale
La cartella clinica digitale è la versione elettronica del classico dossier cartaceo del paziente. Deve contenere informazioni aggiornate e dettagliate sul percorso terapeutico. Sicuramente tra gli elementi che la cartella può contenere abbiamo: i dati anagrafici del paziente e eventuali anamnesi o valutazioni psicodiagnostiche, appunti delle sedute, indicazioni diagnostiche, consensi informati firmati e via dicendo.
Per questo la cartella deve essere aggiornata regolarmente, accurata, semplice da utilizzare per poter inserire i dati correttamente, deve essere coerente e accessibile solo a chi è autorizzato.
Ma cosa dice il GDPR (Regolamento Europeo 2016/679)?
Le cartelle cliniche digitali contengono dati “particolari” ai sensi del GDPR, ovvero dati sanitari che richiedono tutele rafforzate perchè sensibili. Alcuni degli obblighi fondamentali per il professionista sono:
Base giuridica e consenso: è obbligatorio raccogliere un consenso esplicito da parte del paziente per il trattamento dei dati sanitari.
Accesso limitato: solo il terapeuta o collaboratori autorizzati possono accedere ai dati.
Conservazione sicura: i dati devono essere salvati in ambienti sicuri, preferibilmente su server localizzati in Europa.
Tracciabilità: ogni accesso, modifica o cancellazione dei dati deve essere tracciabile.
Portabilità e diritto all'oblio: il paziente ha diritto a richiedere una copia dei suoi dati o la cancellazione, se compatibile con le norme deontologiche.
Inoltre, per la tutela e un buon utilizzo di queste cartelle, il GDPR afferma che i professionisti della salute mentale debbano avere strumenti come la crittografia dei dati, i backup automatici, l’autenticazione a due fattori per aumentare la sicurezza dei file, la firma digitale dei documenti e la possibilità di avere accessi differenti
Il digitale rappresenta quindi una giusta risorsa se viene impiegata rispettando le leggi che vengono definite per la buona pratica di questi strumenti.
