Il Garante privacy ha pubblicato un importante ed utile compendio per il trattamento dei dati personali effettuato attraverso piattaforme online con l’obiettivo di fornire delle preliminari indicazioni.
Sul mercato esistono numerose piattaforme - utilizzabili tramite web e/o App - volte a facilitare la messa in contatto degli utenti con i professionisti sanitari: attraverso tali piattaforme molto spesso è possibile, oltre a prenotare le visite, inviare ed archiviare della documentazione sanitaria per la condivisione con il professionista. Questo vuol dire che le piattaforme trattano dati relativi alla salute.
“Resta fermo che i proprietari e gestori delle piattaforme in esame non sono legittimati a trattare i dati sulla salute degli utenti per finalità di diagnosi, assistenza e terapia sanitaria, che sono invece perseguibili esclusivamente da un professionista sanitario soggetto al segreto professionale, conformemente al diritto unionale e nazionale (art. 9, par. 2 lett. h) e par. 3 del Regolamento).”
“Pertanto, i proprietari e gestori delle piattaforme potranno effettuare solo i trattamenti strettamente necessari ad offrire servizi funzionali al rapporto medico paziente, quali quelli di natura amministrativa (es. pagamento delle prestazioni sanitarie) o tecnologica (es. gestione degli account e degli appuntamenti delle visite specialistiche).”
Tale affermazioni sono coerenti con i principi della limitazione dello scopo e della minimizzazione.
Il compendio ha l’obiettivo di individuare i principali aspetti di protezione dei dati che i titolari ( proprietari e gestori delle piattaforme) devono osservare nella realizzazione dei servizi digitali, richiamando solo i principali adempimenti relativi ad eventuali attività sanitarie effettuate dai professionisti attraverso l’utilizzo delle piattaforme (es. televisita).
Eventuali trattamenti di dati personali posti in essere dal professionista sanitario che è entrato in contatto con il paziente attraverso le piattaforme, (compresi i possibili ulteriori usi delle stesse per inviare e visualizzare documenti con il paziente) devono infatti essere considerati in modo distinto e dovranno essere effettuati da o sotto la responsabilità di ciascun professionista, in quanto finalizzati alla diagnosi o alla terapia sanitaria.
Il Garante fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti:
dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica);
dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti);
dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).
Per ciascuna delle tre differenti tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app. Nei confronti dei gestori e proprietari delle piattaforme viene ribadita la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.
Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
In ultimo il Garante sottolinea che le informazioni da rendere ai pazienti, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.
Il documento del Garante è sicuramente un valido strumento di supporto per la regolamentazione delle app sanitarie e fornisce delle linee guida essenziali per la gestione dei dati degli utenti.
Questo documento pur disciplinando la fattispecie dell’impiego di piattaforme di terzi, sulla base dei principi evidenziati può essere un valido strumento da declinare – con i dovuti accorgimenti ed adattamenti – anche ai casi in cui le piattaforme siano sviluppate e gestite direttamente dalle strutture sanitarie.
Comments