Il Garante Privacy interviene sugli applicativi e sui siti web che mettono in contatto i pazienti con i professionisti sanitari, tra cui i medici di medicina generale e i pediatri di libera scelta. Sono compresi anche quei siti che offrono a utenti e medici servizi quali la scelta del professionista, la prenotazione delle visite, l’invio e l’archiviazione di documenti sanitari.
Il Garante ha pubblicato un documento  sotto forma di “compendio” articolato in 10 punti in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali così delicati.
Dati spesso classificati come particolari ai sensi dell’art. 9 del Regolamento UE GDPR n. 2016/679, conosciuti anche come dati sensibili.
Le piattaforme digitali, che fungono da intermediarie tra medico e paziente, nella maggior parte dei casi fanno capo a società stabilite in paesi europei diversi dall’Italia o in Paesi terzi. Ciò potrebbe comportare anche l’eventuale trasferimento dei dati in paesi che non applicano le regole UE sulla protezione dei dati personali.
I dati sia personali che sanitari dei pazienti vengono utilizzati per molteplici finalità da diversi soggetti che intervengono a vario titolo nelle operazioni di trattamento. Essi possono assumere diversi ruoli di protezione dei dati (titolare, contitolare e responsabile del trattamento).

Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti:

  1. dati personali dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica);
  2. dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti);
  3. dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app.
Il Garante ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto – DPIA – sul trattamento di dati con mezzi tecnologici innovativi. Questo tipo di trattamento dei dati può, infatti, presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Un paragrafo del compendio, infine, è dedicato alle informazioni, da rendere ai pazienti ai sensi degli articoli 13 e 14 del GDPR. Le informative, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.

Igino Addari

Fonte Garante privacy

ACTAINFO PNRR

AGID_Marketplace.png Misura 1.4.1: SPORTELLO DIGITALE e SITI WEB per Servizi digitali Pacchetto Cittadino Informato e Cittadino Attivo.
Misura 1.2: Migrazione servizi in CLOUD.
Misura 1.4.3: PagoPA, App IO.
Misura 1.4.4: SPID, CIE

 

 

Actaprivacy software cloud saas qualificato da AGID per l'adempimento del GDPR

AGID_Marketplace.png Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

 

 

ActaFad - Elearning Corso Whistleblowing per la segnalazione degli illeciti

Corso di formazione per l’attuazione degli obblighi formativi in materia di whistleblowing - segnalazione degli illeciti - richiesti dalla Delibera ANAC n. 311 del 12 luglio 2023

 

 

Leggi anche

Attacco hacker a Synlab Italia sospese attività di 500 laboratori e centri medici

Laboratori Hackerati

Attacco hacker ai sistemi informatici di Synlab Italia, network europeo di fornitura di servizi di analisi e diagnostica medica presente in oltre 30 nazioni in 4 continenti con più di 500 laboratori medici in cui lavorano 28.000 dipendenti e circa 600 milioni di esami eseguiti ogni anno. E’ stata la stessa società a renderlo noto sul […]

Attacchi Ransomware in Italia +85% nel 2023

Ransomware

Nel report annuale sullo stato di salute della cybersecurity, Cyber Think Tank di Assintel, evidenzia un aumento preoccupante degli attacchi informatici nel corso del 2023. Nel mondo si evidenzia un notevole incremento del 184% nel numero degli attacchi rispetto al 2022, con un totale di 7.068 attacchi malware individuati e classificati durante l’anno. Dal Dark […]

Vortice di aggiornamenti 2024 per Amministrazione trasparente con regole privacy

Nuove schede standard pubblicazione Amministrazione trasparente 2024

Dopo i 5 provvedimenti emanati nel 2023 da ANAC – Autorità Nazionale Anticorruzione: Seguono 2 ulteriori aggiornamenti di inizio 2024 che coinvolgono anche le misure di protezione dei dati personali. Conclusioni Gran lavoro sul fronte Amministrazione trasparente. Si paga il ritardo nella progettazione della digitalizzazione e nella necessità della interoperabilità, in questo caso, con le […]