Dati sensibili dei pazienti condivisi su WhatsApp da parte di almeno 26 membri del personale sanitario per più di 500 volte accertate. Attraverso l’app di Meta venivano inviati nominativi, indirizzi, immagini, video, e screenshot, che includevano informazioni cliniche dei diretti interessati. Ma anche divulgazione illecita di dati personali a un utente non autorizzato non appartenente allo staff medico che era stato aggiunto nel gruppo per errore.
A renderlo noto è l’Information Commissioner’s Office (ICO), ovvero l’omologo inglese del nostro Garante per la privacy, che ha ammonito l’ente responsabile dell’assistenza sanitaria (NHS Lanarkshire) di oltre 652.000 persone che vivono nelle aree comunali del North Lanarkshire e del South Lanarkshire in Scozia.
Anche se in Scozia WhatsApp è stato approvato per i dipendenti del servizio sanitario pubblico per scambiarsi comunicazioni di base, essi però non sono autorizzati ad usarlo per la condivisione di dati sensibili, tanto più quando si tratta di informazioni che riguardano lo stato di salute dei pazienti.
A seguito dell’indagine svolta, l’autorità per la protezione dei dati inglese ha appurato che, quando aveva reso disponibile WhatsApp per il download al personale sanitario, l’ente sanitario non aveva però fornito policy e linee guida chiare per la tutela della privacy. In pratica, non aveva effettuato alcuna valutazione dei potenziali rischi relativi alla condivisione dei dati dei pazienti effettuata attraverso la nota app di messaggistica.
Sebbene il servizio sanitario scozzese non sia stato ancora sanzionato, dovrà comunque adeguarsi a una serie di prescrizioni e raccomandazioni fatte dall’autorità del Regno Unito, il cui Direttore, John Edwards, ha puntualizzato in modo categorico: “Apprezziamo che l’NHS Lanarkshire, come tutti gli operatori sanitari, sia stato sottoposto a un’enorme pressione durante la pandemia, ma ora non ci sono scuse per far scivolare gli standard della protezione dei dati. I dati dei pazienti sono informazioni altamente sensibili che devono essere gestite con cura e in sicurezza. Quando accedono all’assistenza sanitaria e ad altri servizi vitali, le persone devono avere fiducia che i loro dati siano in mani sicure”.
Anche in Italia WhatsApp è lo strumento di comunicazione che va ormai per la maggiore tra i professionisti del settore sanitario, utilizzato dall’84,3% dei medici, mentre solo il 14,5% di essi usa Telegram o Messenger, come aveva evidenziato un sondaggio condotto nei mesi scorsi dall’Ordine dei Medici chirurghi e odontoiatri di Firenze in collaborazione con il laboratorio universitario DataLifeLab.
A tal proposito, è opportuno rammentare che nel periodo del lockdown, con il parere n.58 del 19/3/2020 il Garante della Privacy aveva dato l’ok al decreto del Mef per l’invio dematerializzato delle ricette, evidenziando “che non sussistono impedimenti legati alla protezione dei dati personali nell’individuazione con tali modalità alternative alla consegna del promemoria cartaceo della ricetta elettronica, evidenziando la possibilità di prevedere canali digitali, alternativi alla stampa cartacea, rispettosi della disciplina in materia di trattamento dei dati sulla salute”, ma era sottinteso che con il passaggio al digitale si rendeva necessario mettere in atto tutte le misure tecniche organizzative per garantire il rispetto del GDPR.
Inoltre, nel suddetto parere, l’Authority aveva espressamente dato il proprio nulla osta ad utilizzare come canali dematerializzati il portale del Sistema di accoglienza centrale (Sac), il Fascicolo sanitario elettronico, la posta elettronica (email), gli short message service (Sms), ma non aveva menzionato WhatsApp e le altre app di messaggistica, strumenti tecnologici che, per quanto di uso pratico e rapido, comportano però maggiori criticità in materia di protezione dei dati personali che richiedono ulteriori valutazioni prima di essere adottate estesamente come prassi generalizzata dai professionisti del settore sanitario.
Nicola Bernardi, presidente di Federprivacy