sanità e privacy

Teleconsulto medico a norma di Gdpr: ecco come

Passata l’emergenza covid-19, il teleconsulto potrà accrescere la sua importanza per gli innegabili vantaggi in termini di velocità e facilità di utilizzo e anche in vista dell’arrivo del 5G. Diventa perciò fondamentale organizzare tale attività, fin dalla fase di progettazione, in linea coi dettami del GDPR

15 Apr 2020
Salvatore Bella

Privacy Consultant Data Protection Officer


Consultare uno specialista, ai tempi del coronavirus, può essere molto complicato data la necessità di rimanere a casa per evitare il contagio.

Per tali ragioni, il teleconsulto è lo strumento a cui le strutture sanitarie stanno ricorrendo con sempre maggiore frequenza, in quanto consente di mettere in contatto, in pochi clic, i propri pazienti con lo specialista cui desiderano rivolgersi ovviando alle difficoltà determinate dai divieti di circolazione imposti su tutto il territorio nazionale.

Si tratta di uno strumento agile e funzionale alla prosecuzione dell’attività sanitaria, ma la cui fruizione deve essere adeguatamente organizzata per rispettare la normativa privacy, vediamo in che modo.

Le varie tipologie di teleconsulto

La consulenza medica fornita per via telematica può limitarsi alla semplice interazione col paziente, o arrivare invece a configurarsi come una vera e propria visita specialistica, con la possibilità che vengano condivisi dati particolari e visionata documentazione sanitaria (es referti di precedenti esami diagnostici)

Una minore o maggiore complessità del servizio offerto avrà inevitabilmente un diverso impatto dal punto di vista privacy.

Se l’attività di teleconsulto si limita a una videochiamata nel corso della quale il paziente potrà collegarsi con lo specialista e rivolgergli domande, è sufficiente che, prima di avviare la sessione di teleconsulto, il paziente venga informato delle modalità con le quali si svolgerà l’attività e di come verranno archiviati i dati che dovesse comunicare nel corso della sessione (si pensi ad es. a dati anamnestici o relativi alla sintomatologia che lo stesso dovesse accusare).

In tale ipotesi non sarà invece necessaria l’acquisizione di un consenso, perché l’attività di teleconsulto non prevede alcuna finalità ulteriore rispetto a quella di assistenza sanitaria, per la quale il consenso non è più un obbligo come chiarito dal Garante col provvedimento del 7 marzo 2019.

Esistono poi forme più complesse di teleconsulto, che consentono allo specialista di prendere visione di dati personali contenuti in documenti sanitari condivisi dal paziente e di registrare la sessione video.

Questa attività permette senza dubbio allo specialista di avere un quadro clinico più completo, tuttavia è necessario che venga organizzata secondo il principio della “privacy by design” (art 25 Reg. Ue n. 2016/679), secondo il quale la protezione dei dati personali deve essere garantita da parte del Titolare “fin dalla fase di progettazione”, adottando misure tecniche e organizzative idonee a tutelare i diritti dell’interessato.

Privacy by design: quali misure di sicurezza applicare

Misure organizzative

  • Informativa e consenso: è fondamentale informare adeguatamente il paziente delle finalità per le quali è necessario che la sessione video venga registrata e chiedere un esplicito consenso a che ciò avvenga. La base giuridica in questo caso non può essere rappresentata unicamente dai trattamenti necessari alla prestazione sanitaria, poiché la registrazione della sessione di teleconsulto comporta l’acquisizione di un file video che ritrae l’interessato e nel corso del quale lo stesso condivide dati particolari riguardanti il suo stato di salute. Per tale ragione il paziente dovrà essere pienamente consapevole delle modalità con le quali si svolgerà l’attività di teleconsulto e dovrà sempre fornire un consenso esplicito alla registrazione della sessione video.
  • Data Retention: è necessario inoltre definire un’adeguata “data retention”, in cui siano determinati i tempi di conservazione e di successiva cancellazione rispetto a tutti i dati personali acquisiti nello svolgimento dell’attività di teleconsulto. Il paziente dovrà essere informato delle modalità con le quali i suoi dati verranno archiviati e del piano messo a punto dalla Struttura Sanitaria Titolare che determini tempistiche e modalità per una loro cancellazione in sicurezza.

Misure tecniche

Connessione crittografata: l’attività di teleconsulto è spesso accompagnata da uno scambio di file tra specialista e paziente che avviene tramite servizio chat, nel corso del quale l’interessato potrà condividere con lo specialista documentazione sanitaria che lo riguarda, e quest’ultimo potrà a sua volta inviare una prescrizione ad esito della visita.

Il rischio è qui rappresentato dalla possibilità che il servizio offerto sia facilmente vulnerabile ad attacchi informatici e al conseguente furto di dati personali e particolari.

La Struttura Sanitaria Titolare deve pertanto garantire uno spazio di condivisione sicuro e una connessione crittografata, in modo da prevenire qualsiasi possibile “Data Breach”.

Possibili scenari futuri

Il teleconsulto è già una realtà in ambito sanitario, ma potrebbe accrescere ulteriormente la sua importanza per gli innegabili vantaggi che abbiamo visto possedere in termini di velocità e facilità di utilizzo, senza contare tutti gli scenari che potrebbero aprirsi in ambito sanitario con l’arrivo in Italia della tecnologia 5G.

Per tale ragione diventa fondamentale organizzare tale attività, fin dalla fase di progettazione, in modo da rispettare quanto previsto dal GDPR, per scongiurare il rischio che un servizio nato per rendere più semplice il contatto tra Struttura Sanitaria e paziente possa rappresentare una minaccia per la sua privacy.

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 2