L'UNICA CASSA MUTUA COOPERATIVA
CREATA DAI MEDICI PER I MEDICI

App di chat per la comunicazione di dati sanitari e GDPR. La privacy e la messaggistica online

di Riccardo Bugliosi

Pubblicato il 20/11/2020

Una tematica molto sentita nel settore sanitario (e non) in questo periodo di prevalenza del mondo ‘Social’ è quella della comunicazione mediante app di instant messaging sia tra medico e paziente che tra operatori sanitari. Abbiamo tutti il riscontro del grande scambio di informazioni di ogni genere tramite software come WhatsApp, ma quanto è sicura questa modalità? Nell’ambito sanitario è comune lo scambio di informazioni sensibili dal punto di vista della privacy e troppo spesso non ci poniamo il problema.

Per cominciare possiamo approcciarci alla tematica leggendo questo articolo di due autori italiani che affronta proprio la tematica dei dati sanitari. Le loro conclusioni sono la nostra base di partenza: dobbiamo verificare la conformità delle app che utilizziamo con due importanti regolamenti che coinvolgono i dati sanitari e la privacy, uno europeo l’altro statunitense. Illustreremo di seguito le due vie alla normativa sulla privacy.

Il GDPR (General Data Protection Regulation)

Nel Marzo 2018 sul British Medical Journal è stato pubblicato un editoriale dal titolo “Are you ready for General Data Protection Regulation?” dall’esplicativo sottotitolo “I medici hanno urgente bisogno di linee guida, di formazione e di canali di comunicazione totalmente conformi (al GDPR) per condividere dati sensibili’.

GDPR_immagine_PixabayIl GDPR è stato introdotto in Europa il 25 maggio 2018. Con tale regolamento la Commissione Europea si è proposta l’obiettivo di rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea (UE) e dei residenti nella stessa UE sia all’interno che all’esterno dei propri confini. Il GDPR cerca di restituire al cittadino il controllo dei propri dati personali semplificando il contesto normativo che riguarda gli affari internazionali e soprattutto unificando e rendendo omogenea la normativa sulla privacy nel contesto della Comunità Europea.

Il testo affronta anche la tematica dell’esportazione di dati personali e sensibili al di fuori dell’UE. Esso obbliga tutti i titolari del trattamento di tali dati (anche se con sede legale fuori dall’UE) ad osservare le normative di tale legislazione. Il Servizio sanitario irlandese ha prodotto un  interessante lista di domande/risposte sull’argomento GDPR che possono aiutarci in maniera semplice e chiara ad affrontare le tematiche di cui ci stiamo occupando.

Fatte tali premesse è evidente la necessità, per gli operatori sanitari che scambiano dati sensibili, di prenderne atto ed operare facendo scelte consapevoli una volta che abbiano deciso di utilizzare uno specifico canale comunicativo via Internet. D’altronde esistono soluzioni software ed app che sono progettate per essere conformi al GDPR. A questo link avete un documento ufficiale dell’ UE sulla ‘Protezione dei dati e della privacy online’.

HIPAA (Health Insurance Portability and Accountability Act)

Sempre per rimanere nel campo della tematica sulla sicurezza dei dati occorre ricordare che negli Stati Uniti è stata introdotta nel 1996 la HIPAA con vari obiettivi tra cui:

  1. Stabilire degli standard industriali per la gestione di informazioni riguardanti la salute dell’individuo in una vasta serie di flussi informativi elettronici.
  2. Imporre la necessità di proteggere e rendere sicure le informazioni sanitarie.

Le normative della HIPAA nel settore della privacy richiedono che i fornitori di servizi sanitari a qualunque livello debbano sviluppare e seguire procedure che assicurino la segretezza e sicurezza delle informazioni sanitarie protette (PHI, Protected Health Information) quando esse siano trasferite, ricevute, consultate ed eventualmente condivise. Ciò si applica a tutte le forme di PHI cartacee, verbali, elettroniche e via dicendo. Per il professionista sanitario che volesse approfondire le tematiche HIPAA può farlo su questo esaustivo link.

Prendendo in considerazione entrambe le normative abbiamo uno spettro di regole che aiutano in maniera considerevole a valutare le app che utilizziamo in sanità.

Dobbiamo distinguere a questo punto due categorie di app di instant messaging: quelle generiche (e più conosciute ai più) e quelle studiate appositamente per la sanità.

App generiche di instant messaging

Esiste una grande quantità di queste app. Se volete approfondire un loro confronto sulla base delle principali  caratteristiche potete visitare questo link di Wikipedia. Seguiterò segnalandovi quelle che credo siano meritevoli di approfondimento. In questa pagina web potete confrontare i dati aggiornati ad ottobre 2020 sull’utilizzo delle principali app di chat utilizzate nel mondo. Per i nostri scopi le più interessanti sono WhatsApp, Facebook Messenger e Telegram non ci occuperemo di WeChat e QQ perché il loro utilizzo è in prevalenza limitato a chi si relaziona con la Cina e SnapChat perché è utilizzato in contesti assai differenti da quello sanitario.

Tutte le soluzioni che andremo ad analizzare permettono il blocco dello schermo, fondamentale per la privacy, ed il successivo accesso mediante riconoscimento dell’impronta digitale (più comodo del PIN che rimane un’opzione). Il blocco dello schermo è fondamentale perché permette un livello di sicurezza maggiore nel caso in cui si lasci il cellulare incustodito, se ne offra l’utilizzo ad un’altra persona o peggio ancora in caso di furto.

WhatsApp

È sicuramente l’app di messagistica più diffusa in Italia, di proprietà di Facebook. La maggior parte di noi ne fa largo utilizzo anche in campo sanitario. La commissione per la GDPR compliance della Commissione europea scrive:

Sebbene le regole di sicurezza di WhatsApp non siano ideali ed essa sia di proprietà di Facebook, è senza dubbio il servizio di messaggistica con crittografia end-to-end più diffuso al mondo. L’autorità irlandese per la protezione dei dati ha stabilito che WhatsApp è sufficientemente sicura per essere utilizzata in alcuni casi come un servizio di messaggistica GDPR-conforme”.

WhatsApp non è HIPAA conforme e questo dato è ulteriormente confermato dall’HPIAA Journal.

Come avete letto all’inizio di questo articolo diverse autorevoli fonti mettono in dubbio l’utilizzo di WhatsApp per trattare dati sensibili. In ogni caso, se volete approfondire, potete consultare la pagina web ufficiale della società in relazione alla privacy.

Come nota di colore vi segnalo che su The Lancet, rivista medica tutt’altro che scandalistica, è descritto un caso di “WhatsAppitis”, una nuova patologia decisamente sorprendente!

Facebook Messenger

Per questa app valgono tutte le cose dette su WhatsApp. Vi suggerisco di leggere questo articolo che dà suggerimenti utili, seppur nel mondo business, per rendere in qualche modo GDPR conforme una chat via Messenger.

Telegram

Questa app di instant messaging è piuttosto diffusa. Un articolo molto ben fatto sulla sicurezza di Telegram può essere trovato a questo link.  Secondo alcune fonti è GDPR conforme rimane però il fatto che non abbiamo informazioni certe su dove siano localizzati i suoi server. Permette di inviare messaggi che si distruggono a tempo però la società non rende open source i metodi di crittazione dei messaggi ed inoltre la crittografia End-to-End non è attiva per default, l’utente deve selezionarla nelle opzioni per inviare messaggi crittati. È facile trovare su Internet recensioni piuttosto critiche su questo software. Se volete approfondire le politiche della privacy in relazione a Telegram potete leggere la loro pagina ufficiale al riguardo.

Signal

Questa app è da molti riconosciuta come la migliore in termini di privacy. Questa affermazione la troviamo anche sul sito ufficiale GDPR dell’UE.

Nel febbraio 2019 la Commissione Europea ha suggerito il suo utilizzo da parte del suo personale. Nel Febbraio 2020 ha reiterato questo suggerimento e qui il tutto è ufficializzato su di un sito web della UE.   Il suo codice, il motore di crittazione dei messaggi, i server su cui si è organizzata la rete sono open source. Questa è un’ottima garanzia di sicurezza per gli utenti. Signal memorizza sui propri server unicamente l’ultima data in cui l’utente si connette al servizio, al contrario le conversazioni e i file scambiati restano memorizzati sul dispositivo utilizzato (PC o smartphone). Dal punto di vista grafico è meno curata e sicuramente meno attraente di un prodotto raffinato come WhatsApp. Un suo indubbio vantaggio consiste nel fatto che, la versione per Android, può gestire anche gli SMS criptati, a patto che anche il ricevente abbia la stessa app. È importante notare che supporta messaggi ‘a tempo’ che si auto-distruggono dopo un lasso di tempo predefinito. Sono supportate le videochiamate ed ovviamente esiste la versione per desktop. Per un approfondimento delle sue caratteristiche potete andare a questa voce di Wikipedia. Per ciò che riguarda questa app ed il GDPR questa pagina del supporto tecnico è esplicativa di tutte le maggiori caratteristiche di privacy mentre questa dell’EU è esplicativa anche in relazione alle app di cui parliamo in questo articolo. Sul sito della sanità del British Columbia (Canada) si suggerisce esplicitamente Signal

Oltre alle 3 app esposte sin qui esiste una grande varietà di instant messaging apps, anche molto conosciute, come Viber, iMessage, Facebook Messanger, Wire, etc. ma, con l’esclusione di Threema, che non è gratuito ma è GDPR conforme, hanno caratteristiche sovrapponibili in vario modo a WhatsApp e Telegram.

Un discorso a parte meritano Threema e Kaizala.

Threema

Si tratta di una app studiata appositamente per essere conforme al GDPR. È sviluppata da una società svizzera ed è, al contrario di tutte le soluzioni che vi ho illustrato sinora, a pagamento. Ne esiste una versione business ed ha un bacino di utenti soprattutto nel mondo di lingua tedesca. I dati delle chat vengono memorizzati esclusivamente sui dispositivi che la utilizzano. Una minima quantità di informazioni (metadati) che servono a far funzionare il sistema sono memorizzati sui server dell’azienda in Svizzera secondo modalità molto stringenti di sicurezza.

Kaizala

Sconosciuta ai più è una app sviluppata da Microsoft con l’ottica di essere conforme GDPR e HIPAA. Nel nostro contesto quindi si pone come un’ottima soluzione per lo scambio di informazioni sanitarie e sensibili sia tra medico e paziente che tra sanitari in un contesto strutturato.

App di instant messaging per operatori medici ed operatori sanitari

Esistono numerose soluzioni nel campo sanitario per il  Secure Messaging Apps (SMA) ed è possibile fare una confronto delle loro caratteristiche su diversi siti che potete facilmente trovare su Internet. Vi ho selezionato due di loro perché mi sono sembrate significative delle più moderne tecnologie che vengono espresse nel settore. I software che vado ad illustrarvi sono tutti GDPR ufficialmente conformi e gratuite per l’utilizzo personale.

Siilo Messenger

Si tratta di una app di instant messaging creata appositamente per gli operatori ed i gruppi di lavoro della sanità. Al momento della registrazione vengono richieste una serie di informazioni per garantire che si è un operatore sanitario certificato. È una app gratuita per i singoli operatori ed i team ed è orientata al coordinamento di gruppi per la terapia, per poter espandere il proprio network professionale e per scambiare expertise tra colleghi in maniera molto efficiente. È possibile scambiare qualsivoglia tipo di informazione e fare telefonate crittate. Siilo è il maggiore network medico in Europa con circa 250000 utenti.

Due schermate di Siilo che illustrano la classica grafica da chat
Due schermate di Siilo che illustrano la classica grafica da chat

Vi segnalo di seguito un’interessante soluzione integrata per la gestione del flusso di informazioni nelle strutture sanitarie. La prima inoltre è installabile sui vostri smartphone solo come app di chat in sanità.

Hospify

Ecco un’altra soluzione sicura per la collaborazione in sanità, certificata ISO27001:2017 (“è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative” fonte: it.wikipedia.org)

mmagini della grafica di Hospify
immagini della grafica di Hospify

Dal sito di Hospify riportiamo: “Molti medici ed operatori sanitari usano strumenti come WhatsApp ed iMessage per rimanere in contatto con i colleghi. Queste app sono facilmente accessibili e permettono di risparmiare un sacco di tempo. Il Sistema Sanitario della Regno Unito suggerisce fortemente di non utilizzare WhatsApp ed altri social media di larga diffusione nel contesto sanitario. Perché? Perché può succedere che se voi li state utilizzando per chattare su di voi e la vostra salute le vostre informazioni private non saranno accuratamente messe in sicurezza e possono finire su dei server fuori del Regno Unito o dell’Europa. Questa è una falla nella gestione dei dati. In poche parole, le informazioni vanno ovunque!

In conclusione, fatta questa breve disamina del settore dello scambio di informazioni privacy sensibili utilizzando app per l’instant messaging possiamo concludere che i tempi sono decisamente maturi per fare scelte consapevoli non solo dettate dalla convenzione o dal “lo fanno tutti”. Nel settore sanitario la privacy è il cardine per non rendere le informazioni un potenziale prodotto di scambio commerciale o, peggio ancora, per la profilazione dell’individuo. In poche parole i dati sanitari non debbono entrare in politiche di marketing. In questo senso spetta al professionista della sanità operare le scelte più opportune al fine di proteggere le informazioni che veicola via Internet e non.

Siamo in piena epoca di mHealth (mobile Health), sfruttiamolo al meglio.

Nel momento in cui ho finito di scrivere quest’articolo è comparso un articolo del Wall Street Journal dal suggestivo titolo: “EU Restrictions Could Force Companies to Change Data Transfer Practices, Companies likely will take up more advanced encryption to comply with new guidelines”

(Le restrizioni [introdotte] dalla Comunità Europea potrebbero costringere le società a cambiare le modalità di trasferimento dei dati. Le società con tutta probabilità dovranno adottare modalità di crittazione più avanzate per essere conformi alle nuove linee guida).

A presto

 

Parole chiave: mHealth, GDPR, HIPAA, privacy, WhatsApp, Telegram, Signal, FaceBook Messenger, Threema, Siilo, Hospify, Hypnerotomachia Poliphili.

 

Per contattare l’autore potete scrivere una mail a: comunicazione@cassagaleno.it

 

dottor Riccardo Bugliosi*Riccardo Bugliosi è medico, specialista in medicina interna. Esperto di Intelligenza Artificiale. Lavora nell’ICT in settori anche diversi dalla medicina. Ha pregressi studi in Fisica ed Ingegneria Elettronica. Le sue pubblicazioni scientifiche e di divulgazione sono facilmente reperibili sul web.