Il Compendio, pubblicato a marzo 2024 dal Garante per la Protezione de Dati Personali, intende individuare i principali aspetti di protezione dei dati che i titolari devono osservare nella realizzazione dei servizi digitali (tramite web o app) volti a mettere in contatto i pazienti con i professionisti sanitari.
Garante per la Protezione dei Dati Personali – Compendio sul trattamento dei dati personali effettuati attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari
Anno 2024
Innanzitutto, si richiama la nozione di “dati relativi alla salute” ai sensi del GDPR in cui si ricomprendono i dati personali attinenti alla salute fisica o mentale di una persona che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15) e ai sensi del considerando n. 35 dello stesso GDPR che precisa poi che i dati relativi alla salute comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria.
Si procede poi effettuando una distinzione tra tre macro-tipologie di trattamenti che possono essere effettuati attraverso le piattaforme oggetto di questa regolamentazione, trattamenti caratterizzati da distinte finalità e basi giuridiche:
- Trattamento dei dati degli utenti che utilizzano la piattaforma per prenotare una prestazione con un professionista sanitario. Tale trattamento ha carattere meramente amministrativo volto ad offrire un servizio all’utente dietro sua esplicita richiesta;
- Trattamento dei dati personali dei professionisti sanitari che si avvalgono della piattaforma per entrare in contatto con i pazienti;
- Trattamento di dati sulla salute dei pazienti venuti in contatto con il professionista attraverso la piattaforma. Tale trattamento è effettuato per finalità diagnostiche e di cura o sotto la responsabilità di un professionista sanitario tenuto al segreto professionale (art. 9 par. 2, lett. h) e par. 3 del GDPR)
Per quanto riguarda le basi giuridiche (ciò che legittima il trattamento) dei diversi trattamenti, riprendendo sempre la suddivisione nelle tre categorie, si ravvisa che:
- Per il trattamento dei dati sulla salute degli utenti, il titolare del trattamento è tenuto ad acquisire il preventivo consenso informato degli utenti, manifestazione di volontà che deve essere libera, specifica, informata, inequivocabile e revocabile relativa al trattamento dei dati sanitari che lo riguardano;
- Per il trattamento dei dati personali dei professionisti sanitari, lo stesso è lecito nella misura in cui è necessario per l’esecuzione di un contratto di servizi tra il gestore della piattaforma e lo stesso professionista;
- Per il trattamento dei dati sulla salute dei pazienti non sarà necessario acquisire il consenso dell’interessato applicandosi la fattispecie di cui all’art.9, par.2, lett. h) e par 3 del GDPR).
Stante il divieto di diffusione dei dati e la comunicazione a terzi ai sensi del Codice e del Regolamento, il titolare del trattamento deve prevedere, nello sviluppare le predette piattaforme, l’adozione di misure tecniche e organizzative che impediscano la diffusione dei dati sulla salute degli utenti che si sono avvalsi della piattaforma per la scelta del professionista sanitario.
Con riferimento poi all’obbligo di valutazione di impatto sulla protezione dei dati prevista dal GDPR agli artt. 35 e art. 36, il Garante specifica che tale valutazione deve contenere, oltre ad una descrizione dei trattamenti e delle finalità, anche una valutazione dei rischi per i diritti e le libertà degli interessati e delle misure previste per affrontare i tali rischi, includendo garanzie, misure di sicurezza e i meccanismi necessari per garantire la protezione dei dati personali e dimostrare la conformità al GDPR.
Nell’ambito poi delle operazioni di trattamento in esame diversi sono i soggetti coinvolti a vario titolo, rispetto ai quali occorre individuare correttamente i ruoli di titolare (artt. 4, n. 7 e 24) e, se del caso, di contitolare e di responsabile (artt. 4, n. 8 e 28).
Il titolare è il soggetto a cui competono le scelte di fondo sulle finalità e modalità del trattamento dei dati, mentre il responsabile è invece il soggetto che elabora i dati personali per conto del titolare del trattamento e in base alle sue istruzioni.
Riprendendo la predetta suddivisione in categorie, si ravvisa che:
- Per il trattamento dei dati personali degli utenti: il proprietario/gestore della piattaforma assume il ruolo di titolare del trattamento dei dati strettamente necessari per la registrazione e creazione degli account e per la fornitura dei servizi messi a disposizione;
- Per il trattamento dei dati personali dei professionisti sanitari: il proprietario/gestore della piattaforma assume il ruolo di titolare del trattamento dei dati necessari per l’esecuzione del contratto di servizi;
- Per il trattamento di dati sulla salute dei pazienti: il professionista sanitario è il titolare del trattamento mentre il proprietario/gestore potrebbe essere designato responsabile del trattamento dal professionista sanitario.
Nel Compendio in analisi si ribadisce poi il rispetto dei principi di correttezza e trasparenza che implicano che l’interessato sia informato dell’esistenza del trattamento e le sue finalità.
Per il trattamento dei dati personali degli utenti è importante, ad esempio, che siano illustrati i trattamenti svolti dal proprietario/gestore della piattaforma in qualità di titolare, le finalità del trattamento, le relative basi giuridiche e i tempi di conservazione dai dati.
Per il trattamento di dati sulla salute dei pazienti è necessario che prima che il trattamento di cura abbia inizio, sia resa ai pazienti l’informativa di cui all’art. 13 GDPR.
Dalle istruttorie condotte dal Garante per la Protezione dei Dati Personali è emerso poi che le piattaforme in esame, nella maggior parte dei casi, sono gestite da soggetti non sempre stabiliti in Italia. Il trattamento svolto può pertanto assumere la natura di trattamento transfrontaliero, natura che deve essere portata a conoscenza degli interessati prima che il trattamento abbia inizio.
Al paragrafo 9 del Compendio si ricorda l’importanza del principio di Privacy by design disciplinato dall’art. 25 e considerando n. 78 del GDPR.
Tale principio ha lo scopo di garantire l’esistenza di un corretto livello di protezione dei dati fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita al fine di attuare in modo efficacie i principi di protezione dei dati personali.
Infine, poiché l’art. 32 del GDPR prevede che il titolare del trattamento metta in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, si dispone che il titolare ponga particolare attenzione ad individuare misure tecniche e organizzative volte a ridurre il rischio di distruzione, predita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, ai dati trasmessi, conservati o comunque trattati.
Allo stato dell’arte, l’utilizzo di tecniche crittografiche è una delle misure più comunemente adottate per proteggere, in particolar modo, i dati personali degli utenti di un servizio on-line durante la loro trasmissione su rete Internet.
Il testo completo del Compendio è disponibile a questo link e nel box download.
Vedi anche: