Compendio sul trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app
Garante per la protezione dei dati personali – Piattaforme web e app che connettono pazienti e professionisti sanitari – Dati personali - Obblighi e adempimenti per un corretto trattamento.
Nel marzo 2024 il Garante ha pubblicato un documento in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali acquisiti attraverso app e siti web che mettono in contatto i pazienti con i professionisti sanitari.
Il documento si riferisce, in particolare, agli strumenti digitali che offrono servizi di prenotazione di visite specialistiche e trattamenti diagnostici, consentendo all’utente di scegliere il professionista in base alla specializzazione e alla zona in cui opera e al professionista sanitario di gestire in modo più semplice (grazie alla tecnologia offerta) i rapporti con i propri pazienti, la propria agenda (prenotazione, cancellazione e spostamento degli appuntamenti), le televisite, laddove il servizio è offerto, nonché il pagamento delle prestazioni erogate.
Quanto alla delimitazione del proprio oggetto, il documento precisa in più parti di essere precipuamente dedicato alle piattaforme che si limitano ad offrire un servizio tecnologico di “messa in contatto” di paziente e professionisti sanitari, esulando dal proprio ambito le piattaforme di telemedicina, che permettono la cura di un paziente da remoto (p. 7). In riferimento a tali ultime piattaforme con finalità di cura, il documento si limita ad indicare “solo i principali adempimenti relativi ad eventuali attività sanitarie effettuate dai … professionisti attraverso l’utilizzo delle suddette piattaforme (es. televisita)” con la precisazione che, riguardo a tali prestazioni, è necessario che i professionisti “in qualità di titolari e in ossequio ai principi di accountability e di protezione dei dati fin dalla progettazione, conformino i trattamenti alla disciplina in materia di protezione dei dati personali” (p. 4).
Da segnalare la precisazione, contenuta nel documento, che l’adesione ai menzionati servizi da parte dell’utente, “non essendo prevista da nessuna disposizione normativa, deve intendersi come facoltativa anche qualora tali strumenti siano offerti da professionisti sanitari convenzionati con il Servizio Sanitario Nazionale come il MMG o il PLS” (p. 6).
Il documento fornisce chiarimenti rispetto a tre macro tipologie di trattamenti: dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti); dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti). Per ciascuna di tali tipologie di trattamenti, il documento identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app e ai professionisti, ricordando la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale. Il documento dedica un apposito paragrafo all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il paragrafo finale è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.
F.A.B.