In questi giorni si fa un gran parlare del crescente utilizzo della nota app di messaggistica istantanea WhatsApp nel rapporto tra medici e pazienti.
Sempre più professionisti hanno scelto di usare WhatsApp per comunicare con i propri assistiti che sono soliti inviare copia di referti di esami di laboratorio, di vari tipi di screening, delle diagnosi degli specialisti e così via. I file vengono trasmessi via WhatsApp come immagini o sotto forma di allegati quindi consultati dal medico che può consultarli e fornire indicazioni a distanza.
Strumenti come WhatsApp hanno un innegabile vantaggio: essi consentono di azzererare le distanze tra medici e pazienti rendendo le comunicazioni semplici e immediate. Gli assistiti possono fornire in tempo reale un riscontro sull’andamento delle terapie ed esternare eventuali dubbi senza costringere il medico a distrarsi dall’attività che sta svolgendo: il dottore risponderà infatti quando lo riterrà più opportuno.
In molti chiedono tuttavia se queste pratiche siano compatibili con le nuove disposizioni in materia di trattamento dei dati personali e in particolare con il GDPR (regolamento generale sulla protezione dei dati adottato a livello europeo).
I dati degli utenti, comprese quindi anche le informazioni sensibili come quelle relative allo stato di salute di ciascun individuo, vengono infatti in questo caso trasferite verso server che sono fisicamente situati all’infuori dei confini dell’Unione Europea (Spazio Economico Europeo o SEE).
Il GDPR prevede una specifica regolamentazione per i trasferimenti di dati all’estero: nel caso di WhatsApp lo scambio di dati avviene con server di proprietà di Facebook situati negli Stati Uniti.
Sebbene gli USA siano uno Stato al di fuori dello SEE, a partire da agosto 2016 è stato siglato un accordo chiamato Privacy Shield che in Italia è stato pienamente recepito, come conferma il Garante.
L’intesa, stabilita tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti, prevede che l’adesione al programma Privacy Shield venga accordata a quei soggetti che dimostrino le modalità e le finalità per le quali vengono trattati i dati degli utenti.
Facebook, che detiene la proprietà di WhatsApp, attualmente dispone della certificazione Privacy Shield, come si può evincere in questa pagina.
Di fatto, quindi, il trasferimento dei dati verso i server Facebook sarebbe secondo noi pienamente ammissibile in ottica GDPR, anche nei rapporti tra medico e paziente.
C’è semmai un problema di fondo che non è stato affrontato in questi giorni né sufficientemente soppesato: è vero che WhatsApp usa la crittografia end-to-end (le informazioni tra medico e paziente viaggiano sulla rete in forma cifrata e Facebook ha più volte dichiarato di non essere in grado di risalire al contenuto dei singoli messaggi e degli eventuali allegati) ma è altrettanto noto che la società fondata da Mark Zuckerberg è una realtà spiccatamente commerciale.
È quindi davvero “igienico” che un medico si appoggi a un servizio offerto da un’impresa a carattere commerciale (che tra l’altro poggia il suo business proprio sulla raccolta di dati degli utenti) per trasferire dati sensibili come quelli dei suoi pazienti?
Pavel Durov, fondatore e CEO di Telegram, una delle soluzioni rivali di WhatsApp (i cui server si trovano però oggi a Dubai, negli Emirati Arabi Uniti; vedere questa pagina), ha recentemente sparato a zero su Facebook: WhatsApp non potrà mai essere un’app sicura: parola dell’ideatore di Telegram.
WhatsApp non condivide il codice sorgente dell’applicazione e il funzionamento dell’app viene addirittura nascosto usando tecniche di offuscamento del codice. La tesi di Durov, certamente spunto di riflessione, è che WhatsApp – nonostante l’utilizzo della crittografia end-to-end – offra alla fine meno garanzie in termini di privacy rispetto ad altre soluzioni.
La crittografia non l’hanno inventata né WhatsApp né Telegram e la sua nascita si perde nella notte dei tempi: Crittografia: come funziona e perché è fondamentale usarla.
È ovvio che soluzioni basate ad esempio sull’utilizzo dello standard PGP offrirebbero rassicurazioni nettamente più elevate per medici e pazienti (vedere, per esempio, Inviare documenti in sicurezza via email o mediante altri strumenti e Posta Gmail più sicura con la crittografia dei messaggi) ma è altrettanto vero che soluzioni come WhatsApp vantano un’immediatezza e una semplicità d’uso (oltre a una diffusione in termini di utilizzo) neanche lontanamente paragonabile.
Un altro aspetto da evidenziare è che WhatsApp e le altre app similari memorizzano i file inviati e ricevuti in una cartella non crittografata, sul singolo dispositivo mobile: provate a usare un file manager e a verificare il contenuto delle cartelle \WhatsApp\Media\WhatsApp Images
e \WhatsApp\Media\WhatsApp Documents
.
Un medico che non ponesse particolare attenzione alla configurazione del suo smartphone potrebbe lasciare altre app accedere a tale materiale che potrebbe essere quindi essere ritrasferito altrove.
Massima attenzione, quindi, alle modalità con le quali i dati sono memorizzati ed eventualmente gestiti: alcuni medici potrebbero infatti non essere consapevoli delle attività di backup in corso verso altri server remoti o delle operazioni poste in essere sulle cartelle locali di WhatsApp da parte di altre applicazioni. Mai quindi utilizzare uno stesso terminale sia per scopi lavorativi che per finalità personali.