Garante privacy: indicazioni per siti e app che mettono in contatto medici e pazienti

La Redazione
29 Marzo 2024

Il 28 marzo 2024 il Garante privacy ha pubblicato un documento in 10 punti in cui si forniscono delle preliminari indicazioni sul trattamento dei dati personali, anche relativi alla salute, effettuato attraverso piattaforme - utilizzabili tramite web e/o App - volte a facilitare la messa in contatto degli utenti con i professionisti sanitari.

Diversi siti web e applicazioni sono volti a facilitare la messa in contatto degli utenti con i professionisti sanitari, ivi compresi i Medici di medicina generale (MMG) e i pediatri di libera scelta (PLS). Tali strumenti digitali offrono servizi di prenotazione di visite specialistiche e trattamenti diagnostici, consentendo all’utente di scegliere il professionista in base alla specializzazione e alla zona in cui opera e al professionista sanitario di gestire in modo più semplice (grazie alla tecnologia offerta) i rapporti con i propri pazienti, la propria agenda (prenotazione, cancellazione e spostamento degli appuntamenti), le tele-visite, laddove il servizio è offerto, nonché il pagamento delle prestazioni erogate.

Tali strumenti, in alcuni casi, consentono di inviare e archiviare documenti sanitari, anche al fine di condividerli con il professionista sanitario prima di un appuntamento o durante il rapporto di cura instaurato con lo stesso e ulteriori servizi a beneficio degli utenti, quale quello di visualizzazione dello storico degli appuntamenti e di ricevere via email informazioni sulla salute pubblica e comunicazioni promozionali sui servizi offerti.

Da ciò emerge che attraverso le predette piattaforme, che nella maggior parte dei casi fanno capo a Società stabilite in paesi europei diversi dall’Italia o in Paesi terzi, i dati personali degli interessati sono trattati per molteplici finalità da diversi soggetti che intervengono a vario titolo nelle operazioni di trattamento. E’ dunque essenziale che i profili di protezione dei dati personali siano correttamente indirizzati in omaggio al principio di responsabilizzazione in base al quale il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento e sia di avere effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione e per impostazione predefinita (artt. 5, par. 2, 24 e 25 par. 1 del Regolamento).

Pertanto, il compendio del Garante intende individuare i principali aspetti di protezione dei dati che i titolari devono osservare nella realizzazione dei servizi digitali volti a mettere in contatto i pazienti con i professionisti sanitari, richiamando solo i principali adempimenti relativi ad eventuali attività sanitarie effettuate dai predetti professionisti attraverso l’utilizzo delle suddette piattaforme (es. tele-visita) con riferimento alle quali è necessario che questi ultimi, in qualità di titolari e in ossequio ai principi di accountability e di protezione dei dati fin dalla progettazione, conformino i trattamenti alla disciplina in materia di protezione dei dati personali.

In particolare, il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti: dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti); dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti). Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app e ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Un paragrafo, infine, è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.