Update | App medici-pazienti: le risposte del Garante della Privacy

Lo scorso 28 marzo il Garante Privacy ha diffuso un compendio sul trattamento dei dati personali effettuato attraverso piattaforme, accessibili via web e app, volte a mettere in contatto i pazienti con i professionisti sanitari (di seguito, “Compendio”). Le piattaforme medico-paziente, evolutesi significativamente durante il periodo COVID-19, offrono un’ampia gamma di servizi che vanno dalla prenotazione di visite mediche alla condivisione di documenti sanitari e alla visualizzazione dello storico degli appuntamenti. Il panorama delle piattaforme digitali medico-paziente è in rapida evoluzione e in questo contesto il Compendio pubblicato dal Garante Privacy ha il duplice obiettivo, da un lato, di garantire la privacy e la sicurezza dei dati degli utenti e, dall’altro, di sostenere l’innovazione nel settore sanitario digitale.

1. Tipologie di trattamento nell’ambito delle piattaforme e ruoli privacy

Uno dei temi più rilevanti affrontati nel Compendio riguarda le finalità di trattamento dei dati effettuati nell’ambito delle piattaforme, nonché l’individuazione del titolare del trattamento dei dati. Il Garante Privacy, nel descrivere i servizi offerti tramite tali piattaforme, individua tre tipologie di trattamento che si possono configurare in tali ipotesi: quello per finalità amministrative, quello relativo ai dati dei professionisti sanitari e, infine, il trattamento dei dati degli utenti per finalità di diagnosi e cura.

1.1 Trattamento dei dati per finalità amministrative:

•   il gestore della piattaforma è titolare del trattamento dei dati forniti dagli utenti per (i) la creazione dell’account e (ii) godere dei servizi offerti dalla piattaforma stessa (come, ad esempio, per scegliere e prenotare una prestazione con un professionista sanitario). Tale trattamento trova la sua base giuridica nell’esecuzione di un contratto con l’interessato, in quanto, la piattaforma offre, dietro esplicita richiesta dell’utente, un servizio di carattere amministrativo. Nel caso in cui la piattaforma, nell’erogare i servizi, raccolga i dati relativi allo stato di salute dell’interessato, il gestore è tenuto a richiedere il preventivo consenso informato di tale soggetto, non trattandosi di operazioni necessarie per la diagnosi o la terapia. Qualora il trattamento dei dati intenda perseguire scopi ulteriori non compatibili con quelli originari, come nel caso di invio di comunicazioni commerciali o promozionali, il consenso deve essere fornito in maniera specifica per ciascuna di queste finalità aggiuntive.

1.2 Trattamento dei dati personali dei professionisti sanitari che si avvalgono delle piattaforme:

• questa tipologia di trattamento rientra nell’ambito di un rapporto contrattuale tra il professionista e il gestore della piattaforma, pertanto, il gestore della piattaforma assume, come nel caso del trattamento per finalità amministrative, il ruolo di titolare del trattamento dei dati strettamente necessari per l’esecuzione del contratto tra le parti.

1.3 Trattamento dei dati per finalità di diagnosi e cura:

• i dati sanitari dei pazienti raccolti attraverso la piattaforma per la finalità di diagnosi e cura (ad esempio, la condivisione di documentazione sanitaria quale prescrizioni o referti) sono trattati dal professionista sanitario in qualità di titolare del trattamento, ai sensi dell’art. 9, par. 2, lett. h) GDPR. Il gestore della piattaforma, invece, agisce come responsabile del trattamento, non essendo tale soggetto legittimato a trattare i dati sulla salute degli utenti per finalità di diagnosi e cura, ma solo per fini amministrativi o per offrire servizi tecnologici. Tale impostazione dei ruoli privacy impone, da un lato, la necessità di stipulare un data processing agreement tra il gestore e il professionista sanitario – da allegarsi alle condizioni generali di servizio della piattaforma – e, dall’altro, di dare notizia di tale circostanza agli interessati nell’informativa privacy a loro resa. Il Garante Privacy chiarisce che l’adesione a tali servizi da parte dell’utente, non essendo prevista da nessuna disposizione normativa, deve intendersi puramente facoltativa anche qualora tali strumenti siano offerti da professionisti sanitari convenzionati con il Servizio Sanitario Nazionale.

2. Necessità di predisporre la DPIA

Il Compendio pone in capo al titolare del trattamento l’obbligo di predisporre una preliminare valutazione di impatto (“DPIA”). L’art. 35 GDPR impone tale adempimento ogniqualvolta il trattamento preveda l’uso di nuove tecnologie e presenti un rischio elevato per i diritti e le libertà degli interessati.

Nel caso in esame, tale adempimento si rende particolarmente necessario in virtù del fatto che,  all’interno delle app e delle piattaforme, vengono trattati dati particolari degli utenti, in particolare di soggetti vulnerabili come i pazienti. Inoltre, considerando l’impiego su vasta scala di dati tramite tecnologie innovative, si rende maggiormente opportuno prestare una maggiore attenzione alla protezione della privacy degli utenti.

3. Misure di sicurezza

Da ultimo, il Garante Privacy affronta il tema delle misure di sicurezza richieste a tutela dei dati e della pubblica fede, individuandole specificamente. In particolare, l’autorità richiede l’adozione delle seguenti misure:

• tecniche crittografiche e, in particolare, la scelta di un protocollo di rete che garantisca la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita le piattaforme;
• procedure di verifica del possesso delle qualifiche professionali degli specialisti, ad esempio tramite un codice OTP all’indirizzo PEC del professionista;
• verifica dei dati di contatto forniti dagli utenti;
• misure di riduzione degli errori dovuti a omonimia o omocodia;
• implementazione di procedure di autenticazione a più fattori;
• sistemi di blocco dell’applicazione in caso di inattività (es. time out) o di chiusura della stessa;
• sistemi di monitoraggio degli accessi per rilevare eventuali utilizzi non autorizzati o anomali.

*** ***

Il Compendio rappresenta un valido strumento di supporto per la regolamentazione delle app sanitarie, offrendo linee guida essenziali per la gestione dei dati degli utenti. Tuttavia, si evidenzia come tale documento disciplini esclusivamente l’ipotesi delle piattaforme che agiscono come meri intermediari tra medico e paziente, omettendo invece di considerare quelle piattaforme gestite direttamente da poliambulatori o aziende ospedaliere, le quali sono autorizzate dalla normativa in materia a fornire prestazioni sanitarie. In mancanza di una espressa previsione normativa sul tema, è ragionevole presumere, per analogia, che l’ente sanitario che offre i servizi tramite la piattaforma si qualifichi come titolare del trattamento, poiché fornisce un servizio sanitario perseguendo direttamente finalità diagnostiche e terapeutiche. Inoltre, al riguardo si rileva che, parte delle misure di sicurezza prescritte dal Garante Privacy nel compendio in analisi, potrebbero risultare superflue: difatti, in tale ipotesi, la verifica del possesso della qualifica professionale dello specialista che opera sulla piattaforma è eccessiva in quanto, tale circostanza, è già stata verificata dall’ente in questione all’atto dell’assunzione del professionista.

Da tali considerazioni, emerge come le disposizioni fornite dal Compendio siano puramente indicative e potrebbero non trovare applicazione rispetto a tutte le possibili configurazioni di servizi sanitari digitali.