L’invio di referti e analisi cliniche tramite e-mail è una prassi ormai consolidata in studi medici e farmacie. Pur garantendo immediatezza ed efficienza, questa modalità espone le “categorie particolari di dati personali” (i dati sanitari, ex sensibili) a gravi rischi di divulgazione non autorizzata o accessi accidentali, violando il GDPR.
Il quadro normativo (art. 25 e 32 del GDPR) e le storiche Linee Guida del Garante della Privacy impongono l’adozione di rigorose misure di sicurezza: i referti devono essere inviati esclusivamente come allegati (mai nel testo della mail) e protetti da cifratura o password forte, da comunicare al paziente tramite un canale alternativo (es. SMS).
Una recente e fondamentale pronuncia del Garante (Provvedimento del 17 ottobre 2024) ha chiarito un punto cruciale: la firma di un modulo di consenso da parte del paziente non esonera la struttura sanitaria dalle proprie responsabilità. In virtù del principio di accountability, il titolare del trattamento non può usare il consenso come scappatoia per inviare file “in chiaro”. Diventa quindi indispensabile unire soluzioni tecniche (cifratura) e organizzative (formazione del personale e gestione dei data breach) per tutelare la riservatezza della salute.
