Compendio del Garante Privacy in materia di App e Siti per il contatto tra medico e paziente
Le piattaforme web e/o le App che facilitano la messa in contatto degli utenti con i professionisti sanitari, ivi compresi i Medici di medicina generale (MMG) e i pediatri di libera scelta (PLS), sono strumenti digitali che non solo offrono servizi di prenotazione di visite specialistiche e trattamenti diagnostici ma permettono anche di inviare e archiviare i documenti sanitari condivisi con il professionista sanitario.
E dunque, proprio perché attraverso l’utilizzo di tali servizi digitali si effettua un vero e proprio trattamento di dati personali, il Garante privacy ha emanato un compendio di particolare rilevanza per definire i principali aspetti di protezione dei dati a cui devono attenersi i diversi soggetti che a vario titolo intervengono nelle operazioni di trattamento (gestore/proprietario e professionista sanitario).
Il documento in esame è articolato in 10 punti e, senza pretesa di esaustività, proviamo ad analizzarne qualcuno.
Uno degli argomenti trattati nel compendio riguarda proprio le finalità perseguite in quanto ogni specifico tipo di trattamento, effettuato attraverso queste piattaforme, deve poggiare su un’idonea e corretta base giuridica (art. 6 Reg. 2016/679).
Il Garante ha così fornito chiarimenti con riferimento a tre macro-tipologie di trattamenti:
- trattamento dei dati dell’utente che utilizzano tali piattaforme per scegliere e prenotare una prestazione con professionista sanitario tramite la creazione ad esempio di un account. Questo trattamento essendo volto a offrire un servizio di carattere amministrativo all’utente dietro sua esplicita richiesta non può essere ricondotto ai trattamenti per finalità di cura di cui all’art. 9, par.2, lett. h);
- trattamento dei dati personali dei professionisti sanitari che si avvalgono di queste piattaforme per entrare in contatto con i possibili pazienti. Questo trattamento viene effettuato nell’ambito di un rapporto contrattuale tra il professionista sanitario e il gestore/proprietario della piattaforma/App;
- trattamento dei dati personali relativo alla salute dei pazienti. In questo caso il trattamento è effettuato dal professionista sanitario, in qualità di titolare del trattamento, per finalità di diagnosi e cura da o sotto la sua responsabilità. (art. 9 par. 2, lett. h e par. 3 del Reg. UE 2016/679).
Come detto, nell’ambito delle operazioni di trattamento in esame diversi sono poi i soggetti che a vario titolo vengono coinvolti. In particolare:
- nel caso di trattamento dei dati personali dell’utente, il proprietario/gestore della piattaforma si configura come titolare del trattamento;
- per i trattamenti dei dati personali dei professionisti sanitari; il proprietario/gestore ricopre il ruolo di titolare del trattamento in virtù di un contratto di servizi tra le parti;
- per i trattamenti dei dati di salute dei pazienti, il professionista opera in qualità di titolare del trattamento. Rispetto a questi specifici trattamenti, il gestore/proprietario della piattaforma potrebbe essere designato responsabile del trattamento dal professionista qualora infatti effettui trattamenti di tipo tecnico-amministrativo per suo conto.
La definizione ben chiara di tutti i soggetti coinvolti nei trattamenti di cui sopra deve essere correttamente rappresentata agli interessati in quanto ciò ha riflessi sia nell’individuazione delle corrette base giuridiche poste a fondamento degli stessi che sull’imputazione delle rispettive responsabilità.
Per ognuna delle categorie di cui sopra il documento sottolinea, inoltre, l’importanza non solo di adottare adeguate misure di sicurezza (tecniche ed organizzative) ma anche di rispettare il principio di correttezza e trasparenza nei confronti degli interessati.
Infine, particolare attenzione viene data all’obbligo per i gestori delle piattaforme di svolgere al riguardo una preventiva valutazione di impatto avente ad oggetto tutti quei trattamenti che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.