·

Documentazione clinica

Salute mentale

Proprietario di studio privato

GDPR e registrazione delle sedute terapeutiche: cosa devono sapere i terapeuti

Guida essenziale alla conformità GDPR per terapeuti che utilizzano strumenti di documentazione IA. Consenso, residenza dei dati, accordi con i responsabili del trattamento e diritti dei pazienti spiegati

Terapeuta registra sessione con consenso del paziente e documentazione di conformità GDPR

Registrare o trascrivere una seduta di terapia a distanza non è semplicemente una decisione tecnica — è una decisione legale. Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), le informazioni sulla salute mentale si collocano al livello più alto di sensibilità dei dati, e gli obblighi che ne derivano riguardano ogni professionista privato e ogni clinico istituzionale che utilizza uno strumento di documentazione digitale. Man mano che gli strumenti di documentazione basati su intelligenza artificiale diventano più accessibili, i terapeuti in tutta Europa si trovano sempre più spesso ad affrontare domande per le quali la loro formazione raramente li ha preparati: quale base giuridica mi serve? Posso conservare una trascrizione? Cosa devo dire al mio paziente? Le risposte sono precise, hanno conseguenze concrete e in alcuni casi comportano sanzioni finanziarie significative in caso di non conformità.

Perché il GDPR si applica con particolare rigore ai dati delle sedute di terapia

I dati sulla salute mentale sono classificati come categoria particolare di dati personali ai sensi dell'articolo 9 del GDPR. Questo li colloca allo stesso livello di protezione dei dati genetici, dei dati biometrici e dei dati relativi all'origine razziale o etnica. La posizione predefinita ai sensi dell'articolo 9, paragrafo 1, è che il trattamento di questa categoria di dati è vietato a meno che non si applichi una delle dieci eccezioni elencate nell'articolo 9, paragrafo 2.

Si tratta di un requisito sostanzialmente più elevato rispetto alla base giuridica standard dell'articolo 6 richiesta per i dati personali ordinari. Questa classificazione elevata si applica indipendentemente dal contesto della pratica.

Anche uno studio di psicoterapia individuale deve rispettare integralmente i requisiti dell'articolo 9, poiché per definizione tratta una categoria particolare di dati sanitari. La sensibilità del contenuto delle sedute di terapia può includere rivelazioni di traumi, ideazione suicidaria, identità sessuale o uso di sostanze. Le autorità nazionali per la protezione dei dati considerano qualsiasi mancata individuazione di una base valida ai sensi dell'articolo 9, paragrafo 2, come una violazione grave.

Il GDPR opera come soglia minima, non come limite massimo. Gli Stati membri possono imporre ulteriori obblighi a livello nazionale. Il §203 del Codice penale tedesco, ad esempio, impone ai terapeuti obblighi di segreto professionale che interagiscono direttamente con le modalità di trattamento o condivisione dei dati delle sedute. I terapeuti dovrebbero verificare i requisiti nazionali specifici presso la propria autorità di protezione dei dati prima di implementare qualsiasi strumento di documentazione.

Cosa si intende per "trattamento" quando si registra o trascrive una seduta

Ai sensi del GDPR, il termine "trattamento" copre qualsiasi operazione eseguita su dati personali, sia automatizzata che manuale. Nel contesto di una seduta di terapia a distanza, le seguenti attività costituiscono tutte trattamento:

  • Registrazione audio o video della seduta

  • Generazione di una trascrizione in tempo reale o post-seduta

  • Conservazione di un riepilogo o di una nota clinica generata dall'intelligenza artificiale

  • Passaggio del contenuto della seduta attraverso uno strumento di documentazione basato su intelligenza artificiale di terze parti

  • Caricamento di una registrazione su un servizio di archiviazione cloud

Il trattamento si applica sia agli strumenti completamente automatizzati sia alla trascrizione manuale assistita dalla tecnologia. Non esiste alcuna esenzione per gli strumenti descritti come "di assistenza" o "di supporto" anziché completamente autonomi. Se il contenuto della seduta viene gestito in qualsiasi modo da un sistema o servizio, gli obblighi del GDPR si applicano da quel momento.

La base giuridica che i terapeuti devono stabilire prima di utilizzare qualsiasi strumento di documentazione

Poiché i dati delle sedute di terapia sono dati di categoria particolare, i terapeuti devono soddisfare simultaneamente due requisiti legali distinti: una base giuridica ai sensi dell'articolo 6 e una condizione separata ai sensi dell'articolo 9, paragrafo 2.

Le due condizioni dell'articolo 9, paragrafo 2, più rilevanti per i terapeuti sono:

  • Articolo 9, paragrafo 2, lettera a): Consenso esplicito dell'interessato

  • Articolo 9, paragrafo 2, lettera h): Trattamento necessario per la fornitura di assistenza sanitaria o sociale, soggetto a obblighi di segreto professionale

L'articolo 9, paragrafo 2, lettera h), è la condizione più ampiamente applicabile per le organizzazioni sanitarie che forniscono assistenza clinica diretta. È soggetto alla condizione che il trattamento sia effettuato da un professionista vincolato da un obbligo legale di segretezza. Non si estende automaticamente a ogni uso successivo dei dati della seduta, come il passaggio del contenuto a uno strumento basato su intelligenza artificiale gestito da terzi.

Per i professionisti privati, fare affidamento esclusivamente sul legittimo interesse è raramente sufficiente per i dati di categoria particolare. Il consenso esplicito ai sensi dell'articolo 9, paragrafo 2, lettera a), è generalmente la via più difendibile, perché documenta direttamente l'accordo del paziente all'attività di trattamento specifica. Qualunque sia la base scelta, deve essere documentata prima dell'inizio di qualsiasi trattamento. Il terapeuta, in qualità di titolare del trattamento, ha l'onere di dimostrare l'esistenza di una base valida.

Cosa richiede effettivamente il consenso esplicito in questo contesto

Il consenso esplicito valido ai sensi del GDPR ha un significato giuridico preciso. Deve essere:

  • Libero: Il paziente non deve subire alcun pregiudizio per il rifiuto

  • Specifico: Il consenso alla registrazione non implica il consenso alla trascrizione, al trattamento basato su intelligenza artificiale o alla condivisione con un supervisore. Ogni finalità richiede un consenso separato

  • Informato: Il paziente deve comprendere a cosa sta acconsentendo, incluso chi tratterà i suoi dati e come

  • Inequivocabile: Una casella preselezionata o un'accettazione passiva non soddisfano lo standard

  • Esplicito: Per i dati di categoria particolare, il consenso deve essere espresso in modo chiaro e attivo. Il consenso implicito è insufficiente

Il consenso sepolto in un documento generale di termini e condizioni non soddisfa questo standard. Le linee guida del Comitato europeo per la protezione dei dati chiariscono che il consenso deve essere granulare e specifico per finalità. Un terapeuta che ottiene la firma di un paziente su un accordo terapeutico generale non ha quindi ottenuto il consenso per far passare l'audio della seduta attraverso un servizio di trascrizione basato su intelligenza artificiale.

Il consenso deve anche essere ottenuto prima dell'inizio di qualsiasi registrazione o trascrizione. Il consenso retroattivo (chiedere a un paziente dopo la seduta se gli dispiaceva essere registrato) non soddisfa il requisito.

Minimizzazione dei dati: acquisire solo ciò che è effettivamente necessario

L'articolo 5, paragrafo 1, lettera c), del GDPR stabilisce il principio di minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Applicato alla documentazione terapeutica, questo ha implicazioni pratiche dirette.

Se una nota clinica strutturata cattura tutto ciò che è clinicamente necessario da una seduta, conservare la registrazione audio completa o la trascrizione integrale potrebbe non essere giustificabile ai sensi di questo principio. La questione rilevante è se i dati più granulari servano a uno scopo che i dati meno granulari non possono soddisfare.

In pratica, questo significa:

  • Gli strumenti di documentazione basati su intelligenza artificiale dovrebbero essere configurati per generare una nota strutturata e quindi eliminare la trascrizione sottostante, a meno che non vi sia una ragione clinica o legale specifica per conservarla

  • Le registrazioni complete delle sedute non dovrebbero essere conservate per impostazione predefinita per mera comodità amministrativa

  • L'ambito di ciò che lo strumento acquisisce dovrebbe essere esaminato rispetto a ciò che il terapeuta utilizza effettivamente

Una revisione del 2025 degli strumenti di generazione di note basati su intelligenza artificiale nell'assistenza sanitaria mentale ha rilevato che informazioni critiche sulla gestione dei dati (incluso ciò che viene conservato dopo la generazione di una nota) erano spesso assenti dalle comunicazioni dei fornitori. I terapeuti dovrebbero porre domande specifiche anziché fare affidamento su descrizioni generali dei prodotti.

Dove possono essere conservati e trattati i dati delle sedute: regole sulla residenza dei dati nell'UE

Ai sensi del GDPR, il trasferimento di dati personali al di fuori dello Spazio economico europeo (SEE) è limitato a meno che il paese di destinazione non offra un livello adeguato di protezione dei dati o non sia in vigore una garanzia appropriata come le clausole contrattuali standard. Per i dati di categoria particolare sulla salute mentale, questo requisito ha un peso aggiuntivo.

Le piattaforme di livello consumer come le applicazioni generali di videoconferenza (anche quelle ben note) trattano e conservano frequentemente i dati su server al di fuori del SEE e potrebbero non offrire le garanzie contrattuali richieste dal GDPR per i dati sanitari. Un terapeuta che utilizza una tale piattaforma per una seduta a distanza, con la trascrizione automatica abilitata, potrebbe trasferire dati di categoria particolare a un paese terzo senza un meccanismo legale valido.

Quando valutano qualsiasi strumento di trascrizione o documentazione basato su intelligenza artificiale, i terapeuti dovrebbero chiedere direttamente ai fornitori:

  • Dove vengono trattati i dati delle sedute? (Quale paese, quale regione cloud?)

  • Dove vengono conservati i dati a riposo?

  • Ci sono responsabili del trattamento situati al di fuori del SEE?

  • Se i dati vengono trattati al di fuori del SEE, quale meccanismo di trasferimento si applica?

La residenza dei dati nell'UE è un criterio di conformità chiave per qualsiasi strumento che gestisce il contenuto delle sedute di terapia, e i fornitori dovrebbero essere in grado di rispondere a queste domande per iscritto.

Il rapporto con il responsabile del trattamento: i vostri obblighi quando utilizzate uno strumento di terze parti

Quando un terapeuta utilizza uno strumento basato su intelligenza artificiale o di trascrizione esterno, quel fornitore diventa un responsabile del trattamento ai sensi del GDPR. Il terapeuta, in qualità di titolare del trattamento, rimane legalmente responsabile di garantire che il responsabile gestisca i dati in conformità ai requisiti del GDPR.

L'articolo 28 del GDPR richiede un accordo sul trattamento dei dati firmato tra il terapeuta e qualsiasi fornitore che tratti i dati dei pazienti per loro conto. Un accordo sul trattamento dei dati che soddisfi i requisiti del GDPR deve specificare:

  • L'oggetto, la durata e la finalità del trattamento

  • Il tipo di dati personali e le categorie di interessati

  • Gli obblighi e i diritti del titolare

  • Che il responsabile agirà solo su istruzioni documentate del titolare

  • Le misure di sicurezza implementate dal responsabile

  • Gli obblighi del responsabile riguardo ai sub-responsabili

  • Disposizioni per la cancellazione o la restituzione dei dati al termine del contratto

L'assenza di un accordo sul trattamento dei dati non rende il trattamento lecito, lo rende una violazione. I terapeuti non dovrebbero utilizzare alcuno strumento che tratti i dati delle sedute dei pazienti senza aver prima ottenuto un accordo sul trattamento dei dati firmato. Se un fornitore non è disposto o non è in grado di fornirne uno, questo è di per sé un segnale di non conformità.

Cosa dovete comunicare ai pazienti prima di utilizzare uno strumento di documentazione basato su intelligenza artificiale

Gli obblighi di trasparenza del GDPR ai sensi degli articoli 13 e 14 richiedono che i pazienti siano informati sul trattamento dei loro dati al momento della raccolta. Per le sedute di terapia, ciò significa che i pazienti devono essere informati su:

  • Quali categorie di dati vengono raccolti (ad esempio, registrazione audio, trascrizione, nota generata dall'intelligenza artificiale)

  • L'identità del titolare del trattamento (il terapeuta o lo studio)

  • L'identità di eventuali responsabili del trattamento (il fornitore dello strumento basato su intelligenza artificiale)

  • La base giuridica per il trattamento

  • Dove vengono conservati i dati e per quanto tempo

  • I loro diritti, incluso il diritto di accesso, rettifica e richiesta di cancellazione dei loro dati

Questa comunicazione deve essere fornita in modo genuinamente informativo, non sepolta in un documento lungo. Le migliori pratiche per i terapeuti che utilizzano strumenti di documentazione basati su intelligenza artificiale includono:

  • Aggiornare l'informativa sulla privacy dello studio per affrontare specificamente la documentazione assistita da intelligenza artificiale

  • Fornire una spiegazione verbale prima della prima seduta in cui viene utilizzato lo strumento

  • Offrire una conferma scritta (ad esempio, un riepilogo di una pagina) che il paziente può conservare

  • Documentare che la comunicazione è stata fornita e che il consenso è stato ottenuto

L'analisi legale degli obblighi di telemedicina e protezione dei dati conferma che i requisiti di trasparenza si applicano con piena forza alle interazioni sanitarie digitali, comprese le sedute di terapia a distanza condotte tramite piattaforme video.

Periodi di conservazione: per quanto tempo potete conservare trascrizioni o note generate dall'intelligenza artificiale

Il principio di limitazione della conservazione ai sensi dell'articolo 5, paragrafo 1, lettera e), richiede che i dati personali siano conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario per le finalità per le quali sono trattati. Per le trascrizioni delle sedute di terapia e le note generate dall'intelligenza artificiale, i terapeuti devono definire e documentare un periodo di conservazione e applicarlo.

Diverse considerazioni interagiscono qui:

  • Le linee guida degli ordini professionali sulla conservazione delle cartelle cliniche stabiliscono una soglia minima (ad esempio, i requisiti di conservazione variano in base al paese e all'ordine professionale). I terapeuti dovrebbero consultare il proprio ordine nazionale per il periodo minimo applicabile

  • Le note generate dall'intelligenza artificiale e le trascrizioni delle sedute non sono automaticamente soggette alle stesse regole di conservazione delle cartelle cliniche formali. Una trascrizione integrale può avere un periodo di conservazione giustificabile molto più breve rispetto alla nota clinica da essa derivata

  • Quando una trascrizione viene conservata solo per generare una nota, dovrebbe essere eliminata una volta raggiunto tale scopo

I terapeuti dovrebbero documentare per iscritto la propria politica di conservazione, specificando periodi diversi per diversi tipi di dati (registrazione, trascrizione, nota strutturata, lettera al paziente) e garantire che le pratiche di cancellazione dei dati del fornitore dello strumento basato su intelligenza artificiale siano allineate con tale politica.

Requisiti di sicurezza per la conservazione dei dati delle sedute di salute mentale

L'articolo 32 del GDPR richiede ai titolari e ai responsabili del trattamento di implementare misure tecniche e organizzative appropriate al rischio. Per i dati di categoria particolare sulla salute mentale, il livello di rischio è elevato per impostazione predefinita e le misure richieste lo riflettono.

Le aspettative minime di sicurezza per gli strumenti che gestiscono i dati delle sedute di terapia includono:

  • Crittografia a riposo e in transito: Le registrazioni delle sedute, le trascrizioni e le note devono essere crittografate sia quando conservate che quando trasmesse

  • Controlli di accesso: Solo le persone autorizzate dovrebbero poter accedere ai dati delle sedute, con autorizzazioni basate sui ruoli e requisiti di autenticazione

  • Tracce di audit: I sistemi dovrebbero registrare chi ha avuto accesso a quali dati e quando

  • Risposta agli incidenti: I fornitori dovrebbero avere procedure documentate per rilevare e segnalare violazioni dei dati

Gli strumenti di livello consumer (comprese le applicazioni generali di videoconferenza con trascrizione automatica abilitata) difficilmente soddisfano questi requisiti senza specifici accordi di livello enterprise o sanitario in vigore. Il fatto che una piattaforma sia ampiamente utilizzata in contesti clinici non significa che sia conforme al GDPR per il trattamento di dati di categoria particolare senza adeguate garanzie contrattuali e tecniche.

Una revisione peer-reviewed del 2025 degli strumenti di generazione di note basati su intelligenza artificiale nell'assistenza sanitaria mentale ha rilevato che, sebbene la maggior parte dei fornitori fornisse informazioni sulle misure di protezione dei dati e privacy sui propri siti web, dettagli critici (incluse certificazioni di sicurezza specifiche, elenchi di sub-responsabili e pratiche di cancellazione dei dati) erano spesso assenti. I terapeuti non dovrebbero presumere la conformità, dovrebbero verificarla.

Passi pratici per i professionisti privati che selezionano uno strumento di documentazione conforme

I professionisti privati che valutano strumenti di documentazione basati su intelligenza artificiale lo fanno tipicamente senza supporto IT o legale istituzionale. La seguente lista di controllo copre la diligenza minima richiesta dal GDPR:

  • Confermare la residenza dei dati nell'UE: Chiedere al fornitore per iscritto dove vengono trattati e conservati i dati delle sedute. Confermare che nessun sub-responsabile si trova al di fuori del SEE o che siano in vigore meccanismi di trasferimento adeguati

  • Ottenere un accordo sul trattamento dei dati firmato: Non utilizzare alcuno strumento che tratti i dati dei pazienti senza un accordo sul trattamento dei dati firmato che soddisfi i requisiti dell'articolo 28

  • Verificare la certificazione ISO 27001: La certificazione ISO 27001 indica che il fornitore ha implementato un sistema di gestione della sicurezza delle informazioni riconosciuto a livello internazionale. Non è una garanzia GDPR, ma è un indicatore di base significativo

  • Esaminare l'elenco dei sub-responsabili: I fornitori si affidano tipicamente a sub-responsabili (ad esempio, fornitori di infrastrutture cloud). Richiedere l'elenco completo e valutare se la posizione e la postura di sicurezza di ciascun sub-responsabile sono accettabili

  • Comprendere la politica di cancellazione dei dati: Confermare per quanto tempo il fornitore conserva i dati dopo una seduta, cosa attiva la cancellazione e se è possibile richiedere la cancellazione di record specifici

  • Verificare che lo strumento supporti le richieste di diritti dei pazienti: Il sistema deve essere in grado di rispondere alle richieste di accesso e cancellazione entro i tempi richiesti dal GDPR

La mancanza di trasparenza nelle comunicazioni dei fornitori identificata nella ricerca peer-reviewed significa che i terapeuti dovrebbero porre domande specifiche e scritte anziché fare affidamento su materiali di marketing. Un fornitore che non può rispondere chiaramente a queste domande non è una scelta conforme.

Quando un paziente revoca il consenso o richiede la cancellazione

I pazienti hanno diritti esecutivi ai sensi del GDPR che i terapeuti devono essere operativamente preparati a onorare. Due sono particolarmente rilevanti per la documentazione assistita da intelligenza artificiale.

Diritto di revocare il consenso (articolo 7, paragrafo 3): Un paziente può revocare il consenso al trattamento dei propri dati in qualsiasi momento. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca, ma deve avere effetto in futuro. La ricerca sull'implementazione della revoca del consenso nei contesti dei dati sanitari evidenzia la complessità operativa: i dati possono esistere su più sistemi (lo strumento basato su intelligenza artificiale, un backup cloud, una copia locale) e devono essere identificati e gestiti in ciascuno.

Diritto alla cancellazione (articolo 17): Quando il trattamento si basava sul consenso, un paziente che revoca il consenso ha il diritto di richiedere la cancellazione dei propri dati. Il terapeuta, in qualità di titolare del trattamento, deve agire su questa richiesta entro un mese e deve istruire eventuali responsabili del trattamento (compreso il fornitore dello strumento basato su intelligenza artificiale) a cancellare i dati pertinenti dai loro sistemi.

In pratica, i terapeuti dovrebbero:

  • Documentare per iscritto la revoca del consenso e registrare la data

  • Contattare immediatamente il fornitore dello strumento basato su intelligenza artificiale e richiedere la cancellazione di tutti i dati della seduta associati a quel paziente

  • Ottenere conferma scritta dal fornitore che la cancellazione è stata completata

  • Verificare se eventuali copie locali (ad esempio, trascrizioni scaricate) devono essere anch'esse eliminate

Il diritto alla cancellazione non è assoluto. Quando i dati devono essere conservati per conformarsi a un obbligo legale (come i requisiti normativi professionali per mantenere le cartelle cliniche per un periodo minimo) tale obbligo può prevalere sulla richiesta di cancellazione rispetto alla cartella clinica formale. Le trascrizioni o registrazioni grezze che vanno oltre ciò che la cartella clinica richiede difficilmente beneficeranno di questa eccezione e dovrebbero generalmente essere eliminate su richiesta.

I quadri etici professionali nella pratica della salute mentale identificano costantemente la documentazione e la governance dei dati come componenti fondamentali della responsabilità del clinico. La capacità di rispondere alle richieste di diritti dei pazienti è sempre più parte di tale aspettativa in un ambiente clinico mediato digitalmente.

Domande frequenti

Il GDPR si applica alle registrazioni e trascrizioni delle sedute di terapia?

Sì. Ai sensi del Regolamento generale sulla protezione dei dati, i dati sulla salute mentale sono classificati come categoria particolare di dati personali ai sensi dell'articolo 9, collocandoli al livello più alto di sensibilità dei dati. Registrare una seduta, generare una trascrizione, conservare una nota clinica generata dall'intelligenza artificiale o far passare il contenuto della seduta attraverso uno strumento di terze parti costituiscono tutti trattamento ai sensi del GDPR. Questo si applica a ogni professionista che gestisce i dati delle sedute digitalmente, compresi gli studi di psicoterapia individuali.

Quale base giuridica serve ai terapeuti prima di utilizzare uno strumento di documentazione basato su intelligenza artificiale?

I terapeuti devono soddisfare simultaneamente due requisiti legali: una base giuridica ai sensi dell'articolo 6 del GDPR e una condizione separata ai sensi dell'articolo 9, paragrafo 2. Le due condizioni dell'articolo 9, paragrafo 2, più rilevanti sono il consenso esplicito del paziente (articolo 9, paragrafo 2, lettera a)) e il trattamento necessario per la fornitura di assistenza sanitaria o sociale, soggetto a obblighi di segreto professionale (articolo 9, paragrafo 2, lettera h)). Per i professionisti privati, il consenso esplicito è generalmente la via più difendibile, perché documenta direttamente l'accordo del paziente all'attività di trattamento specifica. Qualunque sia la base scelta, deve essere documentata prima dell'inizio di qualsiasi trattamento.

Cosa richiede un consenso esplicito valido quando si registra o trascrive una seduta di terapia?

Un consenso esplicito valido ai sensi del GDPR deve essere libero, specifico, informato, inequivocabile ed espresso attivamente. Il consenso alla registrazione non implica il consenso alla trascrizione, al trattamento basato su intelligenza artificiale o alla condivisione con un supervisore. Ogni finalità richiede un consenso separato. Il consenso sepolto in un documento generale di termini e condizioni non soddisfa questo standard. Deve anche essere ottenuto prima dell'inizio di qualsiasi registrazione o trascrizione. Il consenso retroattivo non soddisfa il requisito.

Cos'è il principio di minimizzazione dei dati e come si applica alla documentazione terapeutica?

L'articolo 5, paragrafo 1, lettera c), del GDPR richiede che i dati personali siano adeguati, pertinenti e limitati a quanto necessario per le finalità per le quali sono trattati. In pratica, se una nota clinica strutturata cattura tutto ciò che è clinicamente necessario da una seduta, conservare la registrazione audio completa o la trascrizione integrale potrebbe non essere giustificabile. Gli strumenti di documentazione basati su intelligenza artificiale dovrebbero essere configurati per generare una nota strutturata e quindi eliminare la trascrizione sottostante, a meno che non vi sia una ragione clinica o legale specifica per conservarla. Le registrazioni complete delle sedute non dovrebbero essere conservate per impostazione predefinita per mera comodità amministrativa.

I dati delle sedute di terapia possono essere conservati o trattati al di fuori dello Spazio economico europeo?

Il trasferimento di dati personali al di fuori dello Spazio economico europeo è limitato ai sensi del GDPR a meno che il paese di destinazione non offra un livello adeguato di protezione dei dati o non sia in vigore una garanzia appropriata come le clausole contrattuali standard. Le piattaforme di livello consumer, comprese le applicazioni generali di videoconferenza, trattano e conservano frequentemente i dati su server al di fuori dello Spazio economico europeo e potrebbero non offrire le garanzie contrattuali richieste dal GDPR per i dati sanitari. I terapeuti dovrebbero chiedere ai fornitori per iscritto dove vengono trattati e conservati i dati delle sedute, se eventuali sub-responsabili si trovano al di fuori dello Spazio economico europeo e quale meccanismo di trasferimento si applica se i dati lasciano la regione.

Cos'è un accordo sul trattamento dei dati e i terapeuti ne hanno bisogno?

Quando un terapeuta utilizza uno strumento basato su intelligenza artificiale o di trascrizione esterno, quel fornitore diventa un responsabile del trattamento ai sensi del GDPR. L'articolo 28 del GDPR richiede un accordo sul trattamento dei dati firmato tra il terapeuta e qualsiasi fornitore che tratti i dati dei pazienti per loro conto. L'accordo deve specificare la finalità e la durata del trattamento, le misure di sicurezza in vigore, gli obblighi del responsabile riguardo ai sub-responsabili e le disposizioni per la cancellazione o la restituzione dei dati al termine del contratto. L'assenza di un accordo sul trattamento dei dati non rende il trattamento lecito, lo rende una violazione. I terapeuti non dovrebbero utilizzare alcuno strumento che tratti i dati delle sedute dei pazienti senza un accordo firmato in vigore.

Cosa devono dire i terapeuti ai pazienti prima di utilizzare uno strumento di documentazione basato su intelligenza artificiale?

Gli obblighi di trasparenza del GDPR ai sensi degli articoli 13 e 14 richiedono che i pazienti siano informati sul trattamento dei loro dati al momento della raccolta. I terapeuti devono dire ai pazienti quali categorie di dati vengono raccolti, l'identità del titolare del trattamento e di eventuali responsabili del trattamento, la base giuridica per il trattamento, dove vengono conservati i dati e per quanto tempo, e i diritti del paziente inclusi accesso, rettifica e cancellazione. Le migliori pratiche includono l'aggiornamento dell'informativa sulla privacy dello studio per affrontare specificamente la documentazione assistita da intelligenza artificiale, fornire una spiegazione verbale prima della prima seduta in cui viene utilizzato lo strumento e documentare che la comunicazione è stata fornita e il consenso ottenuto.

Per quanto tempo i terapeuti possono conservare trascrizioni e note generate dall'intelligenza artificiale?

Il principio di limitazione della conservazione ai sensi dell'articolo 5, paragrafo 1, lettera e), del GDPR richiede che i dati personali siano conservati non più a lungo del necessario per le finalità per le quali sono trattati. I terapeuti devono definire e documentare un periodo di conservazione per ciascun tipo di dati e applicarlo in modo coerente. Le note generate dall'intelligenza artificiale e le trascrizioni delle sedute non sono automaticamente soggette alle stesse regole di conservazione delle cartelle cliniche formali. Quando una trascrizione viene conservata solo per generare una nota, dovrebbe essere eliminata una volta raggiunto tale scopo. I terapeuti dovrebbero confermare che le pratiche di cancellazione dei dati del fornitore dello strumento basato su intelligenza artificiale siano allineate con la loro politica di conservazione documentata.

Cosa succede se un paziente revoca il consenso o richiede la cancellazione dei dati della seduta?

Un paziente può revocare il consenso al trattamento dei propri dati in qualsiasi momento ai sensi dell'articolo 7, paragrafo 3, del GDPR. Quando il trattamento si basava sul consenso, il paziente ha anche il diritto di richiedere la cancellazione dei propri dati ai sensi dell'articolo 17. Il terapeuta deve agire su una richiesta di cancellazione entro un mese e deve istruire il fornitore dello strumento basato su intelligenza artificiale a cancellare i dati pertinenti dai loro sistemi, ottenendo conferma scritta che la cancellazione è stata completata. Il diritto alla cancellazione non è assoluto: quando i dati devono essere conservati per conformarsi a un obbligo legale, come i requisiti normativi professionali per le cartelle cliniche, tale obbligo può prevalere sulla richiesta di cancellazione rispetto alla cartella clinica formale. Le trascrizioni o registrazioni grezze che vanno oltre ciò che la cartella clinica richiede difficilmente beneficeranno di questa eccezione.

Quali standard di sicurezza dovrebbero cercare i terapeuti quando scelgono uno strumento di documentazione basato su intelligenza artificiale?

L'articolo 32 del GDPR richiede ai titolari e ai responsabili del trattamento di implementare misure tecniche e organizzative appropriate al rischio. Per i dati di categoria particolare sulla salute mentale, il livello di rischio è elevato per impostazione predefinita. Le aspettative minime includono la crittografia delle registrazioni delle sedute, delle trascrizioni e delle note sia a riposo che in transito, controlli di accesso basati sui ruoli, tracce di audit che registrano chi ha avuto accesso ai dati e quando, e procedure documentate di risposta agli incidenti. La certificazione ISO 27001 indica che un fornitore ha implementato un sistema di gestione della sicurezza delle informazioni riconosciuto a livello internazionale e funge da indicatore di base significativo, sebbene non sia di per sé una garanzia GDPR. Una revisione peer-reviewed del 2025 degli strumenti di generazione di note basati su intelligenza artificiale nell'assistenza sanitaria mentale ha rilevato che dettagli di sicurezza critici, incluse certificazioni specifiche, elenchi di sub-responsabili e pratiche di cancellazione dei dati, erano spesso assenti dalle comunicazioni dei fornitori. I terapeuti dovrebbero verificare direttamente la conformità anziché fare affidamento su materiali di marketing.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.