Il Garante per la protezione dei dati personali ha pubblicato a fine marzo 2024 un documento che fornisce indicazioni importanti sui trattamenti (e relativi adempimenti) che vengono effettuati attraverso servizi internet (quindi attraverso un sito o un’app) al fine di permettere certi tipi di comunicazione tra medici, sia in regime privato che in convenzione con il SSN (medici e pediatri di famiglia), e i loro pazienti, anche potenziali. Vediamone i punti salienti e cosa comportano.

Attenzione: si parla di servizi di fornitori privati, quindi non di quelli delle ASL o delle Regioni (come il Fascicolo Sanitario Elettronico, il CUP o strumenti di telemedicina).

Trattamenti dei dati degli utenti

Questo è il caso in cui il servizio offre la possibilità agli utenti (non necessariamente ancora pazienti) di trovare/scegliere un professionista sanitario e di prenotare la visita; anche se la specializzazione del professionista può dare indicazioni sulle necessità sanitaria, questi non sono considerati dati per finalità di cura e di conseguenza possono essere trattati anche da altri soggetti (per es. la segreteria). Non trattandosi di operazioni strettamente necessarie alla diagnosi o terapia sanitaria, la base giuridica corretta è il consenso esplicito (nel senso della normativa privacy, cioè lett. a, c. 2, art. 9 del GDPR); quindi deve esserci un’informativa adeguata e l’utente deve effettuare un’azione “positiva” e inequivocabile della volontà di procedere (per la sola creazione di un account, la base giuridica è invece quella del rapporto contrattuale). Ogni altra finalità di tipo marketing/promozionale deve essere soggetta a specifico (cioè separato) consenso.

Il Titolare del trattamento è il fornitore della piattaforma, per quanto riguarda la gestione della registrazione e degli account e l’invio delle comunicazioni di carattere informativo generale o promozionale.

Trattamenti dei dati dei medici

Questo è il caso dell’iscrizione del professionista alla piattaforma che gestisce il servizio, accettandone i termini e condizioni. La base giuridica è ovviamente il rapporto contrattuale, e il Titolare del trattamento non può che essere il fornitore della piattaforma; da notare che in questo caso il medico rappresenta l’interessato.

Questa tipologia di dati, non coinvolgendo gli utenti/pazienti, non presenta particolari criticità e adempimenti da parte del medico stesso.

Trattamenti dei dati sulla salute dei pazienti

Questo è il caso in cui il servizio comprende funzionalità di gestione di dati certamente legati alla cura, quindi per le finalità di diagnosi e cura, che possono essere trattati solo dai professionisti sanitari (soggetto al segreto professionale). Vista la finalità, la base giuridica corretta non può che essere quella delle finalità sanitarie secondo il diritto nazionale o dell’UE (lett. h, c. 2, art. 9 del GDPR).

Dal punto di vista dei ruoli, il Titolare del trattamento è certamente il professionista sanitario, mentre il fornitore della piattaforma è Responsabile del trattamento (limitatamente alle parti tecnico-amministrative, tra cui per esempio l’agenda degli appuntamenti) ed alla conservazione dei dati sanitari.

Obblighi dei medici

Nel documento viene esplicitamente richiamato l’obbligo alla valutazione di impatto, poiché si rientra in almeno 4 dei criteri previsti dalle Linee Guida dell’EDPB (comitato europeo delle autorità di controllo). Tale documento è anche quello in cui esplicitare le motivazioni che portano al trattamento, e alle valutazioni fatte nella scelta delle piattaforme, incluse le verifiche sull’idoneità delle stesse (non ultime, la presenza e l’adeguatezza di un accordo che risponda ai requisiti dell’art. 28).

Ovviamente il medico deve predisporre un’informativa (preferibilmente da pubblicare sulla piattaforma, all’interno del proprio “profilo”) che illustri non solo le informazioni standard riguardanti l’attività sanitaria, ma appunto anche l’ausilio, e in che modo, fornito attraverso l’uso della piattaforma stessa.

Infine, viene richiamato l’obbligo formativo, che nel caso specifico deve comprendere il corretto uso della piattaforma, sempre nell’ottica di impedire diffusioni indebite dei dati.

Va aggiunto un aspetto che nel documento è ricordato in modo un po’ implicito: per quanto possibile, il personale amministrativo o di segreteria del medico o dello studio non dovrebbe accedere ai dati sanitari, ma solo a quelli “amministrativi” (cioè la prima tipologia sopra riportata), tra cui certamente si intende il calendario delle visite. Questo non dovrebbe rappresentare un problema poiché la piattaforma stessa serve proprio alla comunicazione dei dati sanitari direttamente tra il medico e il paziente.

Obblighi dei fornitori delle piattaforme

Il primo richiamo riguarda la necessità di adottare tutte le misure necessarie ad impedire una diffusione dei dati degli utenti, e ciò deve particolarmente riferirsi alle modalità di accesso, cioè come identificare gli
utenti in fase di registrazione in modo da scongiurare il rischio che soggetti non autorizzati possano accedere alle informazioni inserite dagli utenti; ma anche all’utilizzo, in questo caso obbligatorio, della cifratura sia la livello di trasmissione dei dati (quindi protocolli sicuri come HTTPS) che al livello di conservazione.

Ma questa volta il Garante va oltre, offrendo esplicitamente una serie di misure di sicurezza (anche se definendole esemplificative e non esaustive):

  • procedura di adesione alla piattaforma da parte dello specialista che preveda la verifica del possesso della qualifica professionale (es. invio di un codice OTP all’indirizzo PEC – censito su INI-PEC – del medesimo professionista);
  • procedura di verifica/convalida del dato di contatto scelto dall’utente (es. indirizzo di posta elettronica, numero di cellulare);
  • misure volte alla riduzione degli errori di omonimia/omocodia;
  • procedure di autenticazione informatica a più fattori;
  • meccanismi di blocco della app in caso di inattività (es. time out) o di chiusura della medesima;
  • sistemi di monitoraggio anche automatici per rilevare accessi non autorizzati o anomali alle piattaforme.

Ovviamente sono necessarie le informative, almeno due: una per gli utenti/pazienti (per le parti per cui la piattaforma agisce come Titolare del trattamento), e una per i professionisti sanitari (in quanto “clienti” della piattaforma).

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.