Trattamento di dati sanitari tramite piattaforme online: il Garante si pronuncia sui princìpi di correttezza

Con provvedimento numero 368 del 10 novembre 2022, il Garante per la protezione dei dati personali (“Garante”) si è pronunciato nei confronti di Doctolib S.r.l. (in precedenza, Dottori.it S.r.l.) per violazione delle norme sulla protezione dei dati personali previste dal Regolamento EU 2016/679 (“Gdpr”) nei trattamenti dei dati effettuati attraverso la piattaforma Dottori.it (la “piattaforma”).

Il funzionamento della piattaforma

Tale piattaforma ha come scopo quello di facilitare la comunicazione tra professionisti sanitari e pazienti, sulla stessa i medici possono registrarsi e creare un profilo in cui descrivono le loro competenze e l’area geografica in cui esercitano la professione. I pazienti, dopo essersi registrati e aver indicato la specializzazione di loro interesse, possono accedere al database dei medici disponibili e prenotare un appuntamento.

L’attività istruttoria e le contestazioni

A seguito di una segnalazione di possibili violazioni delle norme sulla protezione dei dati personali, il Garante ha avviato un procedimento istruttorio al fine di valutare la corretta individuazione dei ruoli di titolare e responsabile nel trattamento operato dalla Piattaforma e il rispetto dei principi di liceità, correttezza e trasparenza. In risposta alla richiesta di informazioni del Garante, la piattaforma ha, tra le altre cose, dichiarato di:

• qualificarsi come titolare del trattamento con riferimento ai dati personali dei professionisti sanitari, fondando il trattamento sulla base giuridica dell’esecuzione del contratto di cui l’interessato è parte[1];
• agire come responsabile del trattamento per contro dei professionisti sanitari limitatamente al trattamento dei dati correlati alla gestione degli appuntamenti degli stessi, nonché alla gestione della piattaforma per la videochiamata in caso di televisita. Tra questi dati, rientrano il dettaglio delle prenotazioni e delle prestazioni erogate dal professionista originate tramite la piattaforma, nonché la visualizzazione sulla piattaforma delle disponibilità di orario nell’agenda del professionista.
• agire come titolare del trattamento con riferimento ai dati dei pazienti (anagrafici, di contatto e di pagamento) limitatamente alla fase di registrazione degli stessi

Inoltre, la piattaforma ha dichiarato che mette a disposizione dei medici un modello di informativa da fornire ai pazienti per raccogliere il consenso al trattamento dei dati personali di titolarità dei medici.

La decisione del Garante

Nonostante quanto dichiarato dalla piattaforma in sede di istruttoria, il Garante ha rilevato che le informazioni fornite ai pazienti durante la registrazione alla Piattaforma e l’utilizzo dei servizi non fossero chiare e non rappresentassero correttamente i ruoli di titolare e responsabile del trattamento. Pertanto, il Garante ha contestato il mancato rispetto degli articoli 5, comma 1, lettera a), 6, 7, 9, 12 e 13 del Gdpr.

La risposta della piattaforma

In risposta al procedimento avviato dal Garante, la piattaforma ha ribadito che il sistema era stato progettato per mantenere una distinzione netta dei ruoli nel trattamento e che i dati personali dei pazienti sono accessibili solo al medico di riferimento. A detta della piattaforma, inoltre, la stessa non può in ogni caso essere considerata titolare del trattamento per i dati raccolti e trattati in relazione all’erogazione delle prestazioni, che restano esclusiva responsabilità dei professionisti sanitari. In questo contesto, le menzioni di tali prestazioni nell’informativa non indicherebbero a parere della piattaforma automaticamente mancanza di chiarezza o una titolarità del trattamento da parte della piattaforma stessa.

Le motivazioni dell’Autorità

Tuttavia, il Garante ha rilevato che il Gdpr stabilisce chiaramente i ruoli di titolare e responsabile del trattamento e che è fondamentale rappresentare correttamente questi ruoli agli interessati, in quanto ciò influisce sulla determinazione delle basi giuridiche del trattamento, sull’imputazione delle rispettive responsabilità e sui diritti degli interessati. Inoltre, il Garante ha ribadito che il trattamento dei dati personali deve avvenire nel rispetto del principio di trasparenza (articolo 5, par. 1, lett. a, Gdpr), fornendo preventivamente informazioni chiare e accessibili agli interessati (articolo 13 e 14, Gdpr). Le informazioni devono essere concrete, certe e non ambigue, senza lasciare spazio a interpretazioni multiple e prima dell’inizio del trattamento, e devono includere chiaramente sia le finalità che le basi giuridiche del trattamento.

Informativa non adeguata

In questo caso, nota il Garante, la piattaforma aveva dichiarato di agire come responsabile del trattamento per conto dei professionisti sanitari a cui i pazienti si rivolgono per prenotare le prestazioni sanitarie. Tuttavia, durante la registrazione, la piattaforma si presentava come titolare del trattamento non solo per la creazione dell’account personale del paziente, ma anche per fornire il servizio di prenotazione visite mediche o altre prestazioni sanitarie. La piattaforma avrebbe quindi dovuto fornire agli interessati un’informativa adeguata sui trattamenti effettuati come titolare del trattamento e informare gli interessati della raccolta di dati sanitari durante la fase di prenotazione. Il Garante ha quindi evidenziato che i servizi erogati dalla Piattaforma richiedono la collaborazione di diversi soggetti e che, secondo il principio di responsabilizzazione, i soggetti coinvolti devono definire chiaramente i ruoli assunti nel trattamento dei dati, considerando le circostanze specifiche del rapporto tra le parti e le attività svolte da ciascun soggetto nel contesto specifico.

Il Garante ha ritenuto che nel caso concreto la ripartizione dei ruoli descritta dalla Piattaforma nell’informativa ai pazienti non corrispondesse alle modalità concrete con cui venivano effettuate le operazioni di trattamento e ha dichiarato l’illiceità del trattamento effettuato dalla Piattaforma in violazione degli articoli 5, par. 1 lett. a), 12 e 13 GDPR ed emesso una sanzione pecuniaria ai sensi del art. 83, par. 5, lett. a) Gdpr.

La decisione evidenzia l’importanza della definizione dei ruoli e della governance nell’ambito della protezione dei dati personali, soprattutto in relazione ad ecosistemi complessi come la piattaforma in questione e alla corretta individuazione delle responsabilità: un assessment apparentemente semplice che, a seconda delle circostanze concrete, può rivelarsi particolarmente complesso.