Diario clinico digitale: cosa dice la normativa su GDPR, dati sensibili e strumenti di terze parti

Usare un'app per prendere note cliniche. Condividere un documento sul cloud. Adottare uno strumento digitale che aiuta i pazienti a riflettere tra una seduta e l'altra. Sono pratiche sempre più diffuse — e spesso adottate senza chiedersi cosa dicono le norme.

Questo post parla del diario clinico digitale come strumento di lavoro quotidiano — non dei chatbot generici. Se usi ChatGPT o strumenti analoghi per elaborare dati dei pazienti, il tema dei rischi specifici di quell'uso è trattato in un post dedicato. Qui il focus è diverso: uno strumento progettato per accompagnare il lavoro clinico ha obblighi di conformità precisi, che vale la pena conoscere prima di adottarlo.

Non è una questione burocratica. È una questione di responsabilità professionale.

I dati psicologici sono dati sanitari: livello massimo di protezione

L'articolo 9 del GDPR (Regolamento UE 2016/679) definisce una categoria speciale di dati personali che richiede protezione rafforzata. Tra questi ci sono esplicitamente i dati relativi alla salute — e i dati psicologici rientrano a pieno titolo in questa categoria.

Cosa significa in concreto? Che qualunque strumento digitale tu usi per raccogliere, archiviare o elaborare informazioni sui tuoi pazienti — anche solo note di seduta su un file di testo — deve rispettare standard più alti rispetto a un normale trattamento dati.

Non puoi usare qualsiasi app. Non puoi affidarti a qualsiasi cloud. Non puoi ignorare dove finiscono quelle informazioni.

Il GDPR non è una legge pensata per i grandi ospedali. Vale per ogni professionista che tratta dati sanitari, incluso lo psicologo con studio privato.

Il problema delle terze parti: il DPA che nessuno ha firmato

Quando usi un servizio digitale — un'app, una piattaforma cloud, uno strumento con intelligenza artificiale — il fornitore di quel servizio tratta dati personali per conto tuo. In termini GDPR, diventa un "Responsabile del trattamento".

L'articolo 28 del GDPR è esplicito: questo rapporto deve essere regolato da un Data Processing Agreement (DPA), ovvero un contratto scritto che definisce cosa può fare il fornitore con quei dati, come li protegge, e cosa succede se qualcosa va storto.

Il DPA non è un optional. È un obbligo di legge.

Il problema è che molti professionisti non lo sanno. O peggio: usano strumenti che non lo prevedono affatto — il che significa che stanno trasferendo dati sanitari dei propri pazienti a soggetti terzi senza alcuna garanzia contrattuale.

Se usi Google Drive, Dropbox, WhatsApp o una qualsiasi app senza aver verificato l'esistenza di un DPA adeguato, sei probabilmente in violazione del GDPR. Non il fornitore. Tu, in quanto titolare del trattamento.

Data minimization e retention: quanto a lungo puoi tenere quei dati?

Due principi del GDPR che spesso vengono ignorati nella pratica quotidiana:

Data minimization — Raccogli solo i dati necessari per la finalità clinica. Non archiviare informazioni che non ti servono. Non conservare conversazioni automatizzate se il dato rilevante è già stato estratto e trasferito alla cartella clinica.

Retention — I dati non possono essere conservati per sempre. Devi definire per quanto tempo tieni le note digitali, le trascrizioni, i materiali prodotti dal paziente tramite strumenti digitali. E devi documentarlo.

Alcune domande concrete che pochissimi si pongono:

• Chi può accedere ai dati? Solo tu? Il tuo software? Il fornitore del software?

• Cosa succede se cambi fornitore? I dati vengono esportati? Cancellati? Restano sui loro server?

• Cosa succede se chiudi lo studio? Hai un piano per la gestione e la cancellazione sicura dei dati dei pazienti?

La risposta "non ci ho mai pensato" non è una risposta accettabile se sei il titolare del trattamento di dati sanitari.

La checklist in 5 punti prima di adottare qualsiasi strumento digitale

Prima di usare un'app o una piattaforma con i tuoi pazienti, fai queste cinque domande al fornitore. Se non riesci a trovare le risposte — o il fornitore non te le sa dare — è già una risposta.

1. Dove sono fisicamente i server? I dati devono essere conservati all'interno dell'Unione Europea, oppure il fornitore deve garantire meccanismi di trasferimento adeguati (es. Standard Contractual Clauses). "Il cloud" non è una risposta. Un paese specifico, sì.

2. Esiste un DPA che posso firmare? Il Data Processing Agreement deve essere disponibile, leggibile e firmabile. Se il fornitore non sa cos'è o dice che non serve, fermati.

3. Chi è il DPO (Data Protection Officer)? Il Responsabile della Protezione dei Dati è la figura che supervisiona la conformità al GDPR. Devi poterlo contattare in caso di dubbi o incidenti. Non deve essere un nome su una pagina: deve essere raggiungibile.

4. Come funziona la cancellazione dei dati? Se smetti di usare il servizio, o se un paziente revoca il consenso, i dati vengono davvero cancellati? In quanto tempo? Hai una conferma scritta? La cancellazione deve essere completa, non solo "disattivazione dell'account".

5. I dati vengono usati per addestrare modelli IA? Questa domanda è diventata cruciale nell'era degli strumenti con intelligenza artificiale. I contenuti prodotti dai tuoi pazienti — riflessioni, risposte, testi — non possono essere utilizzati per addestrare algoritmi di terze parti senza consenso esplicito. Verifica che il fornitore lo escluda esplicitamente nei propri termini.

Queste non sono domande da avvocato. Sono domande da professionista responsabile.

Un ultimo punto: il consenso informato digitale

Quando un paziente usa uno strumento digitale nell'ambito del percorso che segui con lui, deve essere informato — e deve acconsentire. Il consenso al trattamento dei dati sanitari in ambito digitale non si sovrappone e non sostituisce il consenso al trattamento psicologico: sono due cose distinte.

Aggiorna la tua informativa. Specifica quali strumenti usi, per quale finalità, chi è il responsabile del trattamento. Non è solo un obbligo formale: è rispetto verso il paziente.