App e siti web di contatto tra medici e pazienti: il Garante per la Protezione dei dati personali ha pubblicato un compendio molto utile per i professionisti sanitari
App e siti web di contatto tra medici e pazienti: una quotidianità da regolare
L’uso di app e siti web per il contatto tra professionisti sanitari e pazienti è ormai una quotidianità. La diffusione capillare di queste pratiche e strumenti (non necessariamente pensate allo scopo, si pensi a Whatsapp) ha portato il Garante Privacy a pubblicare un compendio che aiuti i professionisti ad utilizzare correttamente questi strumenti.
Il compendio, in 10 punti e consultabile qui, è utile a tutti i professioni sanitari, compresi i medici di medicina generale e i pediatri di libera scelta.
Un passo indietro: GDPR e i dati sanitari
Inquadriamo anzitutto correttamente i dati sanitari nel quadro del GDPR. Il Regolamento inquadra come dati relativi alla salute tutti i dati attinenti alla salute fisica e mentale di una persona. Anche le informazioni relative alle prestazioni e ai servizi di assistenza sanitaria sono dati sanitari, in quanto rivelatori dello stato di salute di una persona (art. 4 par. 1, n. 15).
Il considerando 35 precisa poi che i dati sanitari:
“comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria compresi un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.
In generale il GDPR prevede, per i dati sanitari, un divieto generale di trattamento. A meno che, ovviamente, non ricorrano casi specificatamente esenti ovvero i trattamenti di dati necessari per le finalità di cura della persona.
Per approfondire > Medici di base: step base per la conformità al GDPR
App e siti web di contatto tra medici e pazienti: il compendio del Garante
Chiarite le premesse, andiamo al sodo del contenuto del compendio del Garante per il trattamento dei dati sanitari via siti web o app. Il compendio si compone di tre macro aree corrispondenti ad altrettante tipologie di trattamento dei dati sanitari:
- dati utenti / pazienti:
sono quei dati necessari per offrire i servizi relativi alla prestazione sanitaria (dati di prenotazione della visita medica così come di creazione di eventuali account). Tale trattamento è da inquadrare nei servizi di carattere amministrativo forniti all’utente su sua esplicita richiesta. Ovviamente occorre che la volontà del paziente / utente sia manifesta tramite espressione di consenso libero, specifico, informato, chiaro e revocabile della stessa.
Se il trattamento dei dati dovesse perseguire finalità ulteriori a quelle sanitarie (marketing), l’utente dovrà prestare esplicito consenso per ognuna delle ulteriori finalità. In caso contrario il trattamento dati ulteriore in atto sarà illegittimo. - dati personali dei professionisti sanitari:
è il caso, comunissimo, dei dati trattati per la gestione dell’agenda del medico o delle recensioni online degli utenti al professionista sanitario. Qui il trattamento dati è da inquadrare entro un rapporto contrattuale tra il gestore della piattaforma / sito web e il professionista sanitario. Le regole che valgono in questo caso sono quindi quelle relative all’esecuzione di un contratto per servizi, non quelli valenti per i trattamenti di dati sanitari. - dati sulla salute dei pazienti:
sono quei dati il cui trattamento è effettuato per le finalità di diagnosi e cura, sotto la responsabilità del professionista sanitario che, oltretutto, è soggetto al segreto professionale.
App e siti web di contatto tra medici e pazienti: ruoli e responsabilità
Per ognuna delle tre macro aree il Garante nel compendio specifica ruoli, responsabilità e base giuridica di ogni trattamento:
- dati utenti / pazienti: il proprietario / gestore della piattaforma ha il ruolo di titolare del trattamento relativamente ai dati necessari a registrazione, creazione account e fornitura dei eventuali altri servizi (cronologia prestazioni ad esempio).
- dati personali dei professionisti sanitari: il proprietario / gestore della piattaforma assume il ruolo di titolare del trattamento dei dati personali dei professionisti sanitari, limitatamente a quanto necessario all’esecuzione del contratto tra le due parti;
- dati sulla salute dei pazienti: per i dati sulla salute dei pazienti trattati dal professionista sanitario tramite la piattaforma (prenotazione visita specialistica oppure per finalità di cura) è il professionista che opera in qualità di titolare del trattamento a finalità di cura. Dovrà quindi attenersi alla disciplina del trattamento dati a finalità di cura.
Il proprietario gestore della piattaforma può essere nominato responsabile del trattamento dal professionista sanitario nel caso in cui effettui trattamenti di tipo amministrativo per conto del professionista stesso. Si pensi ai casi in cui la piattaforma / app organizza l’agenda degli appuntamenti, oppure raccoglie e tratta la documentazione medica dei pazienti del professionista ecc…
Per saperne di più > GDPR e medici: quando le ricette girano su WhatsApp (senza privacy)
Per approfondire > Parere sulle modalità di consegna della ricetta medica elettronica – 19 marzo 2020
Valutazione d’impatto e sicurezza dei dati
C’è infine una specifica sezione del compendio dedicata alla sicurezza dei dati nonché alla valutazione d’impatto del trattamento. Qui il Garante specifica fin dagli esordi che la valutazione d’impatto non è da intendersi come un procedimento statico ed una tantum, ma come un processo di revisione continua.
I gestori / proprietari di paittaforme dovranno prevedere misure come (elenco non esaustivo):
- procedure che prevedano la verifica del possesso della qualifica professionale dello specialista;
- strumenti di verifica / convalida del dato di contatto degli utenti (numero e email);
- autenticazione a più fattori;
- meccanismi di blocco / chiusura dell’app per inattività (un timeout);
- sistemi di verifica degli accessi non autorizzati alla piattaforma;
- l’uso di cookie e strumenti di tracciamento solo dopo aver ottenuto esplicito consenso dell’utente e in rigido rispetto delle previsioni delle Linee Guida sui cookie e altri strumenti di tracciamento – 10 Giugno 2021).
E infine… le informative da fornire ai pazienti
L’ultimo paragrafo del compendio specifica quali informazioni sono dovute al paziente in rispetto dei principi di correttezza e trasparenza. Tali informazioni devono essere, ricorda il Garante. chiare, facilmente accessibili, concise, trasparenti e semplici. Rimandiamo al Compendio, paragrafo 7, per l’elenco dettagliato.
Non sei sicuro che il tuo studio sia conforme al GDPR?
Chiedi ai nostri consulenti ed esperti privacy