Garante Privacy: nuove indicazioni per piattaforme che mettono in contatto pazienti e professionisti sanitari

A marzo 2024 il Garante Privacy ha varato un compendio per dare indicazioni ad app e siti che mettono in contatto i pazienti con i professionisti sanitari.
In particolare, il Garante ha voluto dare indirizzo a quelle piattaforme, che sono in grande espansione, che aiutano i medici ed i professionisti sanitari a mettersi in contatto con i pazienti come, per esempio, per la prenotazione di visite specialistiche.

Nell’ambito di questo tema ha individuato tre macro-tipologie di trattamenti che possono essere effettuati da tali piattaforme:

1. Trattamento dei dati degli utenti, si tratta principalmente di quei trattamenti che avvengono nell’ambito della prestazione di servizi a carattere amministrativo all’utente dietro sua esplicita richiesta. Nell’ambito di questo trattamento il Garante specifica che vi potrebbero rientrare dati idonei a rivelare lo stato di salute degli interessati, per esempio, in relazione alla tipologia di prestazione sanitaria richiesta.
2. Trattamento dei dati personali dei professionisti sanitari, si tratta dei trattamenti che avvengono ogniqualvolta i professionisti sanitari si avvalgono delle piattaforme per entrare in contatto con possibili pazienti, vi rientrano anche le recensioni eventualmente espresse dagli utenti in relazione al professionista sanitario;
3. Trattamenti di dati sulla salute dei pazienti eventualmente effettuati dal professionista sanitario in qualità di titolare autonomo del trattamento (ad esempio la condivisione di documenti sanitari come prescrizioni e referti).

I 10 punti del Garante Privacy

In particolare, il Garante ha suddiviso il compendio in 10 punti, approfondendo vari aspetti privacy che potrebbero venire in risalto nell’ambito del trattamento effettuato dalle piattaforme che mettono in contatto professionisti sanitari e pazienti:

1. In merito alle finalità del trattamento, come anticipato, il Garante effettua una tripartizione di quelle che sono le macro-tipologie di trattamenti che possono venire in rilievo. In particolare, le finalità individuate dal garante sono: (i) offerta di un servizio di carattere amministrativo; (ii) esecuzione di un contratto tra la piattaforma ed il professionista sanitario; e (iii) trattamento per finalità di cura sotto la responsabilità di un professionista sanitario tenuto al segreto professionale ( art. 9 par. 2, lett. h GDPR).
2. Il Garante pone luce anche sul tema delle normative che regolano gli strumenti di sanità digitale che hanno finalità analoghe o strettamente connesse a quelle di cui al punto 1. Il Garante in particolare richiama la normativa sulla refertazione online e la normativa in tema di Fascicolo sanitario elettronico.
3. In riferimento alle basi giuridiche del trattamento, il Garante sottolinea che:

• per il trattamento dei dati degli utenti, che utilizzano la piattaforma per scegliere e prenotare una prestazione con un professionista sanitario, il titolare è tenuto ad ottenere il previo consenso informato degli utenti (secondo l’art. 9 par. 2 lett. a GDPR). Questo non sarà dovuto nel caso in cui il trattamento sia riferito a dati non appartenenti alle categorie particolari (ad es. per la mera creazione dell’account);
• per il trattamento dei dati personali dei professionisti sanitari che si avvalgono delle piattaforme per entrare in contatto con i pazienti si fa riferimento alla base giuridica dell’esecuzione di un contratto;
• per il trattamento dei dati sulla salute dei pazienti, non sarà necessaria l’acquisizione del consenso, applicandosi l’art. 9 par. 2, lett. h, ovvero l’esimente al consenso per il trattamento di dati sanitari per finalità di cura.

4. In virtù del divieto di diffusione delle informazioni sullo stato di salute e di comunicazione delle medesime a terzi, il titolare del trattamento, nello sviluppare la piattaforma dovrà adottare appropriate misure tecniche ed organizzative che impediscano la diffusione dei dati sulla salute degli utenti.

5. In relazione alla valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, secondo il Garante questa sarà obbligatoria. Tale trattamento rientrerebbe          difatti tra quelli ad alto rischio in considerazione della natura dei dati trattati e della potenziale numerosità dei soggetti interessati.

6. Per quanto riguarda i ruoli privacy, il Garante illustra tre possibili scenari, sulla base della propria esperienza:

• in relazione ai trattamenti dei dati personali degli utenti, il proprietario/gestore della piattaforma assume il ruolo di titolare del trattamento dei dati strettamente necessari che siano raccolti per la registrazione e la creazione degli account e per la fornitura di altri servizi messi a disposizione da quest’ultimo;
• in relazione ai trattamenti dei dati personali dei professionisti sanitari il proprietario/gestore della piattaforma assume il ruolo di titolare del trattamento dei dati strettamente necessari per l’esecuzione del contratto di servizi;
• in relazione al trattamento di dati sulla salute dei pazienti eventualmente effettuati dal professionista per finalità di cura, il titolare del trattamento è lo stesso professionista, mentre il proprietario/gestore della piattaforma potrà qualificarsi come responsabile del trattamento qualora effettui trattamenti di tipo tecnico amministrativo per conto del professionista sanitario.

7. In relazione all’informativa privacy, il Garante sottolinea gli elementi necessari che debbono essere comunicati agli interessati:

• per i trattamenti degli utenti che si registrano sulle piattaforme, è importante che siano chiaramente illustrati: (i) i trattamenti svolti dalla piattaforma quale titolare e quelli eventualmente svolti quale responsabile del trattamento; (ii) la natura transfrontaliera o meno del trattamento; e (iii) eventuali trattamenti con finalità ulteriori rispetto a quelle di cura.
• in relazione al trattamento dei dati dei professionisti sanitari, bisognerà indicare: (i) i criteri in base ai quali viene visualizzato dall’utente l’elenco dei professionisti; (ii) eventuali trattamenti circa i giudizi di gradimento espressi dai pazienti;
• in relazione al trattamento di dati sulla salute dei pazienti, il Garante evidenzia che la piattaforma, nella sua qualità di responsabile può consegnare ai pazienti l’informativa del professionista sanitario. Inoltre, i professionisti sanitari che volessero utilizzare apposite piattaforme per gestire la propria relazione con i pazienti, potranno offrire tali servizi solo a seguito di espressa richiesta da parte dell’interessato, debitamente informato.

8. Sulla scorta della sua esperienza, il Garante evidenzia che spesso i trattamenti effettuati da queste piattaforme avvengono al di fuori del territorio nazionale, e quindi il trattamento può assumere natura di trattamento transfrontaliero, del quale dovranno essere informati gli utenti assieme alla comunicazione dell’autorità di controllo competente.

9. Viene ribadita l’importanza dei principi di privacy by design e by default, soprattutto in relazione ai produttori di tali piattaforme;

10. In relazione alle misure tecniche ed organizzative, il Garante suggerisce una lista di misure di sicurezza che dovranno essere adottate dai proprietari/gestori della piattaforma quali: (i) unna procedura di adesione alla piattaforma da parte del professionista che preveda la verifica del possesso della qualifica professionale; (ii) una procedura di verifica del dato di contatto dell’utente; (iii) misure volte alla riduzione di errori di omonimia/omocodia; (iv) procedure di autenticazione informativa a più fattori; (v) meccanismi di blocco della app in caso di inattività o di chiusura della stessa; (vi) sistemi di monitoraggio anche automatici per rilevare accessi non autorizzati o anomali alle piattaforme.

Su un altro decalogo varato dal garante in tema sanità può essere d’interesse l’articolo: “Garante Privacy vara il decalogo sull’uso dell’Intelligenza Artificiale”.