Ambito di applicazione del Compendio
Il Garante per la protezione dei dati personali ha di recente fornito indicazioni preliminari sul trattamento dei dati personalieffettuato attraverso piattaforme – utilizzabili via web e/o app – che agevolano lo svolgimento del rapporto tra medico e paziente. Il Compendio pubblicato sul tema dall’Autorità si applica alle infrastrutture digitali che offrono servizi, di natura amministrativa o tecnologica, ai destinatari della prestazione sanitaria e ai professionisti che la erogano. La piattaforma consente ai primi di prenotare da remoto visite mediche o trattamenti sanitari, scegliendo il medico in base alla sua specializzazione e alla zona in cui opera, e ai secondi di contattare più facilmente possibili pazienti, gestire al meglio l’agenda professionale, ricevere il corrispettivo del proprio operato, effettuare visite mediche a distanza e condividere documenti sanitari. A fronte dei diversi possibili utilizzi di tali piattaforme, il Garante ha inteso chiarire, in dieci punti, gli adempimenti necessari ai fini del trattamento dei dati personali che in esse confluiscono.
Le basi giuridiche legittimanti il trattamento dati personali
Il trattamento può riguardare, in primo luogo, i dati personali degli utenti che accedono ai servizi della piattaforma, che possono essere idonei a rivelare il loro stato di salute e, perciò, qualificarsi come dati sanitari (art. 4 par. 1 n. 15 e considerando 35 G.D.P.R.). Il proprietario/gestore della piattaforma può trattare tali dati solo previo consenso informato dell’interessato (art. 9 par. 2 lett. a G.D.P.R.) e allo scopo di fornire i servizi funzionali all’attuazione del rapporto tra medico e paziente. Qualora il trattamento persegua finalità ulteriori (es. scopi di natura commerciale), è necessario che l’interessato abbia prestato un consenso informato per ciascuna di esse. In nessun caso il trattamento operato dal proprietario/gestore della piattaforma può perseguire finalità di diagnosi, assistenza o terapia sanitaria, circoscritte ai trattamenti eseguiti dai professionisti sanitari tenuti al segreto professionale (art. 9 par. 2 lett. h e par. 3 G.D.P.R.).
Nella piattaforma confluiscono, altresì, i dati personali dei professionisti sanitari che se ne avvalgono, i quali potrebbero essere convenzionati con il SSN. Il proprietario/gestore della piattaforma è legittimato al trattamento di tali dati nella misura in cui sia necessario all’esecuzione del contratto di servizi stipulato con il professionista (art. 6 par. 1 lett. b G.D.P.R.).
Da ultimo, la piattaforma può costituire un mezzo per il trattamento dei dati relativi alla salute ad opera dei professionisti sanitari per finalità di diagnosi, assistenza e terapia sanitaria. Il medico può, infatti, avvalersi della piattaforma per fornire assistenza sanitaria al paziente da remoto (es. televisita) o per condividere con quest’ultimo documenti sanitari (es. prescrizioni elettroniche o referti on-line). In questi casi, il titolare del trattamento è lo stesso professionista sanitario, il quale è tenuto a rispettare la specifica normativa in materia, e non il proprietario/gestore della piattaforma, che al più può essere nominato responsabile del trattamento (art. 28 G.D.P.R.).
Le regole per il trattamento dei dati personali
Chiarite le basi giuridiche legittimanti ciascun tipo di trattamento e il ruolo esercitato dai soggetti coinvolti, il Garante ha illustrato le regole poste a tutela dei dati personali degli interessati.
Il trattamento deve essere preceduto da una valutazione d’impatto sulla protezione dei dati poiché il mezzo tecnologico utilizzato e la natura sensibile dei dati trattati comportano elevati rischi per i diritti fondamentali degli utenti (art. 35 G.D.P.R.). In conformità al noto principio della privacy by design (art. 25 par. 1 G.D.P.R.), la piattaforma deve garantire sin dalla fase di progettazione una protezione adeguata dei dati personali degli interessati. La valutazione d’impatto consente di esaminare l’efficacia delle misure tecniche ed organizzative predisposte a tal fine dal titolare del trattamento. Tra le tecniche che la piattaforma deve adottare rientrano la crittografia, le procedure di autenticazione informatica a più fattori, i meccanismi di verifica del possesso della qualifica professionale e i sistemi di monitoraggio dei rischi.
È, altresì, fondamentale fornire agli interessati adeguate informazioni relative al trattamento dei loro dati personali attraverso un linguaggio semplice e chiaro. Per i trattamenti dei dati sanitari eseguiti a scopo di cura, il professionista sanitario può prevedere, nell’atto di designazione del proprietario/gestore della piattaforma quale responsabile del trattamento, che l’informativa sia resa da quest’ultimo per suo conto.
Da ultimo, è vietata qualsiasi diffusione non autorizzata dei dati personali degli utenti della piattaforma e dei professionisti sanitari che vi accedono e particolare cautela è richiesta per i trattamenti che coinvolgono più di uno Stato membro (cd. transfrontalieri). In quest’ultimo caso è prevista una devoluzione di competenze in capo all’Autorità di controllo (cd. capofila) che ha sede nel luogo in cui si trova lo stabilimento principale o unico del titolare o del responsabile del trattamento. Ciò al fine di garantire l’esistenza di uno “sportello unico” cui rivolgersi nel caso di violazioni del diritto degli interessati alla protezione dei loro dati personali.