Il Garante pubblica regole per le piattaforme (web o app) che mettono in contatto i pazienti e i professionisti sanitari

Negli ultimi anni, l’avvento della tecnologia ha rivoluzionato numerosi settori, incluso quello della sanità. Piattaforme online e app che mettono in contatto pazienti con professionisti sanitari hanno reso più accessibile l’assistenza medica, soprattutto in contesti in cui la presenza fisica è limitata o non possibile. Tuttavia, questa evoluzione ha sollevato anche importanti questioni riguardanti la privacy e la protezione dei dati personali.

Negli ultimi anni, il Garante ha prestato particolare attenzione al settore sanitario, attenzione che si è manifestata con numerosi provvedimenti aventi ad oggetto aziende sanitarie, ma anche app mediche (a febbraio 2024 una app per diabetici), piattaforme gestionali per medici e pazienti (a novembre 2022 la piattaforma Doctolib), iniziative in ambito medico (nel giugno 2023 il progetto THIN che utilizzava real world data). Le piattaforme mediche e di telemedicina sono state per molto tempo al primo posto tra le attività ispettive programmate dal Garante nei propri piani ispettivi semestrali.

Cosa prevede il “compendio”

Alla luce di questi recenti sviluppi, il Garante per la protezione dei dati personali ha recentemente reso noto un proprio “compendio” in materia di trattamento di dati personali da parte delle piattaforme che mettono in contatto pazienti e professionisti sanitari via web o app. Il compendio si propone di individuare gli aspetti di protezione dei dati che i titolari devono considerare quando realizzano queste piattaforme, in ossequio al principio di accountability e ai principi generali applicabili ai sensi del Gdpr. Il compendio fornisce indicazioni su vari aspetti:

• la ricostruzione dei ruoli e delle responsabilità di tutti i soggetti coinvolti in relazione alle varie categorie di dati trattate (sanitari, comuni, dei pazienti, dei professionisti sanitari) e alle finalità dei vari trattamenti, con individuazione delle specifiche basi giuridiche per il trattamento;
• il contenuto dell’informativa da rendere agli utenti (pazienti e professionisti sanitari);
• specificità rispetto alle misure di sicurezza;
• Un richiamo alla normativa sui referti online.

La distinzione tra dati comuni e sanitari

Con riguardo alla individuazione delle finalità del trattamento, ed in relazione ai dati dei pazienti che utilizzano le piattaforme, il compendio distingue tra dati comuni (ad es. per la creazione dell’account) e sanitari (ad es. relativi ad una specifica prestazione sanitaria). Per i primi la base giuridica è la necessità di dare esecuzione ad un contratto di cui è parte l’utente (quello relativo all’utilizzo della piattaforma) e il titolare del trattamento è la piattaforma che mette a disposizione degli utenti i propri servizi.

Quando serve il consenso

Per quanto riguarda invece i dati sanitari, si distinguono due ipotesi. Per i dati riguardanti la scelta di una determinata prestazione sanitaria o di un determinato professionista sanitario, la base giuridica del trattamento sarà il consenso esplicito dell’interessato e il titolare del trattamento sarà la piattaforma che fornisce il servizio di prenotazione all’utente. Per i dati sanitari strettamente necessari alle finalità di cura, che vengono generati dalla interazione del paziente con il professionista sanitario, non sarà necessario alcun consenso. Infatti questi ultimi, ricadono nell’ambito di applicazione dell’articolo 9 par. 2 lettera h) e par.3 GDPR, che fornisce una giustificazione ai trattamenti dei dati sanitari per finalità di cura effettuati da professionisti sanitari soggetti a segreto professionale.

In questo caso, il compendio chiarisce che la piattaforma, qualora effettui trattamenti di tipo tecnico come ad es. la gestione dell’agenda degli appuntamenti del professionista sanitario, o l’archiviazione della documentazione medica dei pazienti di quest’ultimo, agirà esclusivamente quale responsabile del trattamento per conto del professionista sanitario (e non potrà trattare autonomamente i dati sulla salute degli utenti per finalità di cura). Il compendio, quindi, chiarisce che la stessa piattaforma potrebbe agire sia in qualità di titolare che in qualità di responsabile del trattamento in relazione a questi trattamenti: naturalmente, da un punto di vista pratico, occorre che le due ipotesi siano distinte sotto il profilo tecnico ed organizzativo.

Qualora la piattaforma decida di utilizzare i dati per finalità ulteriori non compatibili con lo scopo della raccolta (ad es. per comunicazioni commerciali da parte della piattaforma) sarà necessario acquisire un consenso specifico per ciascuna di queste finalità. Ma resta fermo il fatto che tali piattaforme non possono utilizzare per finalità proprie i dati raccolti e conservati dai medici per finalità di cura.

Con riguardo alla ulteriore categoria di dati trattati da queste piattaforme, quelli relativi ai professionisti sanitari, il trattamento avverrà nei limiti di quanto strettamente necessario ad eseguire il contratto di servizi tra le parti e il titolare del trattamento sarà la piattaforma stessa.

I profili di trasparenza

Con riferimento ai profili di trasparenza, il compendio fornisce indicazioni sul contenuto dell’informativa da fornire agli utenti. Il complesso quadro di governance, finalità e basi giuridiche che abbiamo descritto sopra in relazione ai dati (sanitari e non) degli utenti deve essere riportato con esattezza nell’informativa da fornire ai pazienti secondo quanto previsto dall’articolo 13 Gdpr. Il Garante, tuttavia, si spinge oltre ed individua informazioni aggiuntive rispetto a quelle elencate nell’articolo 13 Gdpr. Per i dati degli utenti che si registrano alla piattaforma, ad esempio, in caso di trasferimenti transfrontalieri, è richiesta l’indicazione della autorità capofila. Per i dati personali dei professionisti sanitari, è richiesta l’indicazione dei criteri in base ai quali viene visualizzato dall’utente l’elenco dei professionisti e l’eventuale uso di sistemi di Intelligenza artificiale o algoritmi a tal fine.

Questione sicurezza

Un altro aspetto trattato dal compendio è quello della sicurezza dei dati trattati attraverso queste piattaforme. Da un lato il Garante ricorda la necessità per i titolari del trattamento di rispettare il principio di “privacy by design” (protezione dei dati fin dalla progettazione), e quindi la necessità di garantire un corretto livello di protezione dei dati fin dalla fase della progettazione di un servizio, prodotto o processo di farlo per tutto il ciclo di vita del medesimo. A questo proposito, il Garante sottolinea come i produttori di prodotti servizi o applicazioni, insieme ai responsabili, svolgano un ruolo fondamentale per assicurare il rispetto di questo principio da parte dei titolari. Pur non essendo soggetti a tale obbligo, gli operatori devono essere consapevoli di questo principio e consentirne il rispetto da parte dei propri clienti (titolari). Sotto il profilo delle specifiche misure di sicurezza, il compendio ricorda come la crittografia sia una delle misure più comunemente adottate per proteggere i dati personali degli utenti di un servizio-online e che tra le misure di sicurezza che devono essere adottate ci sono – ad esempio – la verifica del titolo professionale da parte del professionista sanitario, la verifica dei dati di contatto degli utenti, autenticazione a più fattori, e altre.

L’armonizzazione tra strumenti digitali

Gli strumenti di sanità digitale come quelli fin qui esaminati devono anche coordinarsi con la normativa vigente nel settore. In particolare, con le norme sul Fascicolo sanitario elettronico (dal momento che la normativa più recente ha previsto che medici di medicina generale e pediatri di libera scelta debbano compilare una parte del Fasciolo e di accedere ai documenti in esso contenuti). Non solo: il Garante richiama anche la disciplina sulla refertazione on-line che andrà considerata per quanto riguarda le modalità di consegna dei referti.

Le raccomandazioni vanno adottate

Il compendio del Garante per la Protezione dei Dati Personali fornisce un quadro dettagliato per il trattamento dei dati personali nelle piattaforme volte a mettere in contatto pazienti e professionisti sanitari. Il compendio in alcuni casi riordina l’insieme delle norme applicabili ed espone le soluzioni che il Garante ritiene conformi a tali normative. In altri casi, introduce regole nuove (ad esempio sulla trasparenza e il contenuto dell’informativa) che si aggiungono a quelle esistenti. Le piattaforme mediche accessibili via web o app devono adottare queste raccomandazioni per garantire un ambiente sicuro, etico e conforme alle normative sulla privacy nell’ambito dell’assistenza medica on-line.