Siti e App per medici e professioni sanitarie: compendio di obblighi e adempimenti dal Garante privacy

Il Garante Privacy interviene sugli applicativi e sui siti web che mettono in contatto i pazienti con i professionisti sanitari, tra cui i medici di medicina generale e i pediatri di libera scelta. Sono compresi anche quei siti che offrono a utenti e medici servizi quali la scelta del professionista, la prenotazione delle visite, l’invio e l’archiviazione di documenti sanitari.
Il Garante ha pubblicato un documento  sotto forma di “compendio” articolato in 10 punti in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali così delicati.
Dati spesso classificati come particolari ai sensi dell’art. 9 del Regolamento UE GDPR n. 2016/679, conosciuti anche come dati sensibili.
Le piattaforme digitali, che fungono da intermediarie tra medico e paziente, nella maggior parte dei casi fanno capo a società stabilite in paesi europei diversi dall’Italia o in Paesi terzi. Ciò potrebbe comportare anche l’eventuale trasferimento dei dati in paesi che non applicano le regole UE sulla protezione dei dati personali.
I dati sia personali che sanitari dei pazienti vengono utilizzati per molteplici finalità da diversi soggetti che intervengono a vario titolo nelle operazioni di trattamento. Essi possono assumere diversi ruoli di protezione dei dati (titolare, contitolare e responsabile del trattamento).

Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti:

1. dati personali dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica);
2. dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti);
3. dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app.
Il Garante ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto – DPIA – sul trattamento di dati con mezzi tecnologici innovativi. Questo tipo di trattamento dei dati può, infatti, presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Un paragrafo del compendio, infine, è dedicato alle informazioni, da rendere ai pazienti ai sensi degli articoli 13 e 14 del GDPR. Le informative, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.

Igino Addari

Fonte Garante privacy