Nell’ultimo periodo si è assistito a un incremento esponenziale delle applicazioni relative alla salute mentale, che offrono agli utenti supporto psicologico a portata di mano attraverso strumenti di autovalutazione, monitoraggio del benessere emotivo e interventi terapeutici guidati. È evidente che in un contesto del genere il tema della privacy sia centrale.
Le informazioni inserite — strettamente personali — necessitano di un’adeguata protezione, attraverso trasparenza e standard di sicurezza rigorosi. Occorre quindi comprendere quali siano gli strumenti più adeguati per rendere queste applicazioni sicure e, di conseguenza, più efficace il fine che perseguono.
Indice degli argomenti
La diffusione della sanità digitale e il boom delle app per la salute mentale
La diffusione delle applicazioni dedicate alla salute mentale rappresenta uno degli sviluppi più significativi nel settore della cosiddetta sanità digitale. Queste app, che si collocano tra le più richieste e scaricate degli ultimi anni, offrono diverse opzioni: dal rilevamento e monitoraggio di sintomi e parametri psicofisiologici, alla possibilità di contattare direttamente uno specialista.
Complice la pandemia di Covid-19, che per la prima volta ha acceso i riflettori sulla sfera psichica dell’individuo — prima percepita quasi come un “tabù” — queste applicazioni sono sempre più spesso pubblicizzate anche attraverso la possibilità di ottenere un check-up gratuito del proprio benessere psicologico con un semplice click.
Anche altri dispositivi, come lo smartwatch, stanno guadagnando terreno come alleati nel monitoraggio dei parametri psicofisici di chi li indossa.
Privacy nelle app di salute mentale: perché i dati sono così delicati
Se tali strumenti possono rappresentare un’importante risorsa per promuovere il benessere psicologico — anche per chi non ha accesso a determinate terapie, spesso costose — essi pongono al contempo questioni delicate dal punto di vista giuridico e di tutela della privacy. Queste app trattano infatti informazioni che riguardano lo stato di salute mentale dell’utente e, quindi, dati particolarmente sensibili.
I fruitori di questi servizi, spesso con estrema leggerezza, possono inserire informazioni relative a sintomi, ottenere diagnosi o esiti di test psicologici, ma anche tracciare l’andamento del proprio umore, tenere un diario emotivo, registrare dati relativi ad ansia, depressione e stress, oltre che abitudini comportamentali.
Appare quindi evidente che il fulcro della tematica sia il concetto di dato sanitario acquisito da queste piattaforme digitali.
La definizione di dato sanitario nel GDPR
Trattandosi di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», come riporta l’articolo 4, punto 15 del Regolamento (UE) 2016/679 (GDPR), essi necessitano di una tutela rafforzata.
Nello specifico, il considerando n. 35 del GDPR precisa che tali dati comprendono anche «informazioni raccolte nel corso della registrazione di una persona al fine di ricevere servizi di assistenza sanitaria di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio» — concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera — e che possono includere «un simbolo, un numero o un elemento specifico attribuito a una persona fisica che la identifica in modo univoco a fini sanitari».
Appare lampante, quindi, la delicatezza delle informazioni che vengono acquisite da queste applicazioni.
Chi tratta i dati: sviluppatori, startup e assenza di controllo diretto
Nel contesto qui analizzato, il problema è ancora più complesso, poiché gli operatori che raccolgono questi dati non si trovano in strutture sanitarie “tradizionali”. Di conseguenza, spesso il trattamento può sfuggire a un controllo diretto.
Gli utenti, infatti, non hanno un contatto reale e diretto con il professionista: i dati vengono raccolti e registrati, ad esempio, da società tecnologiche, startup o direttamente dagli sviluppatori delle app. È quindi lecito domandarsi se il trattamento sia realmente sicuro e se garantisca i requisiti richiesti dalla normativa di riferimento.
Il rischio, infatti, è che non tutte le app siano in grado di garantire qualità e affidabilità dei contenuti. Chi utilizza questi prodotti, soprattutto quelli gratuiti, potrebbe imbattersi in informazioni fuorvianti che, insieme alla mancanza di supervisione da parte di una figura professionale, potrebbero comportare rischi legati al trattamento dei dati sensibili inseriti e compromettere la fiducia dell’utente.
I principi del GDPR per il trattamento dei dati sulla salute
Da ciò deriva che, quando un’app raccoglie e tratta dati relativi alla salute, deve rispettare requisiti che vanno ben oltre le regole che riguardano applicazioni “generiche”.
Il punto di partenza è sicuramente il GDPR, che detta le regole necessarie per il corretto trattamento delle “particolari categorie di dati”, tra cui rientrano i dati relativi alla salute fisica e mentale di un individuo.
In particolare, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del GDPR, ossia: liceità, correttezza e trasparenza del trattamento; limitazione della finalità del trattamento (incluso l’obbligo di garantire che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta); minimizzazione dei dati (adeguati, pertinenti e limitati a quanto necessario); esattezza e aggiornamento dei dati (con tempestiva cancellazione di quelli inesatti); limitazione della conservazione (per un tempo non superiore al necessario); e, da ultimo, integrità e riservatezza, garantendo una sicurezza adeguata dei dati oggetto del trattamento.
Sicurezza, misure tecniche e valutazione d’impatto
Queste app sono tenute ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Eventuali violazioni possono comportare conseguenze molto gravi per i diritti e la libertà degli utenti: la diffusione di informazioni relative alla salute mentale potrebbe provocare, solo per citarne alcuni, danni alla reputazione e stigmatizzazione sociale.
Essendo dati “ad alto rischio”, il livello di protezione deve essere elevato attraverso crittografia, metodi di autenticazione sicura, protezione da accessi non autorizzati, log sicuri e procedure di risposta alle violazioni.
Qualora il trattamento comporti rischi elevati per i diritti e le libertà degli interessati, il titolare dovrà redigere e mantenere aggiornata la valutazione di impatto sulla protezione dei dati (DPIA).
Informative chiare, consenso e limiti d’uso dei dati
Uno dei temi centrali è che l’utente sia posto nella condizione di accedere a un’informativa chiara, capace di spiegare quali dati vengono raccolti, per quali finalità, le tipologie di trattamento, nonché modalità e tempi di conservazione.
Ciò è necessario perché, nel contesto delle app digitali, possono emergere criticità legate, da una parte, alla reale comprensibilità delle informative privacy — spesso lunghe e tecnicamente complesse — e, dall’altra, alla possibilità che l’utente sia indotto a prestare il consenso per accedere a un servizio percepito come necessario per il proprio benessere psicologico.
I dati raccolti non possono essere utilizzati per scopi diversi da quelli dichiarati nell’informativa, a meno che non si ottenga un nuovo e valido consenso.
Minimizzazione e finalità: quando le app chiedono troppo
Uno dei principali profili problematici riguarda proprio il principio di minimizzazione dei dati e di limitazione delle finalità. In questi casi, infatti, le app potrebbero richiedere l’inserimento di un numero nettamente superiore di dati rispetto a quelli strettamente necessari per il tracciamento, anche per finalità ulteriori come analisi statistiche o di marketing.
Gli interessati devono inoltre essere messi nella condizione di esercitare i diritti previsti dal GDPR — accesso, rettifica, cancellazione, portabilità, opposizione e revoca del consenso — in modo agevole e senza ostacoli.
Da ultimo, qualora i dati siano trattati o archiviati da fornitori esterni, occorre verificare che questi siano conformi al GDPR e che tale possibilità sia indicata nell’informativa, anche come clausola contrattuale.
Limiti pratici, utenti vulnerabili e necessità di cultura digitale
Il quadro normativo è chiaro e rigoroso, anche se talvolta difficile da applicare nel contesto pratico, a causa della tecnicità delle regole imposte, della necessità di una formazione specifica — prettamente settoriale — e della carenza di consapevolezza nel mondo digitale. Ciò può indurre anche a dubitare dell’effettività del consenso prestato da chi scarica queste applicazioni.
Spesso, infatti, l’utente medio non ha competenze tecniche o legali sufficienti per valutare tutte le possibili implicazioni derivanti dall’inserire informazioni intime su queste piattaforme. Inoltre, i fruitori di questi servizi sono talvolta soggetti vulnerabili, che necessitano di supporto in un momento delicato della vita, magari di sofferenza e fragilità psicologica.
Prospettive: innovazione, criteri uniformi e tutela dei diritti fondamentali
In sostanza, le sfide che il diritto alla privacy deve affrontare a fronte della crescente diffusione di queste tipologie di app sono complesse e richiedono un bilanciamento tra innovazione tecnologica e tutela dei diritti fondamentali della persona.
Il GDPR fornisce strumenti avanzati di protezione, ma la loro effettiva applicazione dipende in larga misura dalla responsabilità dei titolari del trattamento e dalla loro formazione, nonché dalla creazione di una maggiore consapevolezza delle conseguenze relative alla condivisione online di dati personali.
In prospettiva, le norme devono aggiornarsi al costante progresso dell’era digitale, affinché la tecnologia possa contribuire al benessere mentale senza compromettere dignità e riservatezza. Occorre definire criteri uniformi per la tutela di soggetti maggiormente vulnerabili, così da prevenire applicazioni disomogenee delle norme, incertezze interpretative per gli sviluppatori e una tutela non uniforme dei diritti degli interessati.
Dall’altra parte, anche l’utente deve avere un ruolo attivo: ciò può essere garantito promuovendo una cultura del digitale, per formare soggetti dotati di capacità critica nel comprendere le informazioni digitali e tutelare i propri diritti.
