Marzo 2024 – L’Autorità Garante per la Protezione dei Dati Personali (GPDP) ha pubblicato un compendio di regole e chiarimenti sul trattamento dei dati personali – inclusi quelli relativi alla salute – da parte delle piattaforme web e delle app che mettono in contatto cittadini e professionisti sanitari, come Medici di Medicina Generale (MMG) e Pediatri di Libera Scelta (PLS).
Questi strumenti digitali, sempre più diffusi, offrono numerosi servizi: dalla prenotazione di visite e prestazioni diagnostiche alla gestione dell’agenda dei professionisti, fino all’archiviazione e allo scambio di documenti sanitari. Tuttavia, il Garante ha precisato un punto cruciale: le piattaforme non possono trattare direttamente i dati sanitari degli utenti per finalità di diagnosi, cura o terapia. Queste attività restano una prerogativa esclusiva del medico o del professionista sanitario, vincolato al segreto professionale.
Le piattaforme possono invece trattare i dati solo quando ciò è strettamente necessario a servizi funzionali al rapporto medico-paziente, come la gestione amministrativa (pagamenti, fatture) o tecnologica (account e appuntamenti).
Il compendio distingue tre macro-categorie di trattamento:
1- Dati degli utenti per servizi amministrativi
- Creazione account, prenotazioni, pagamenti.
- Se emergono dati sanitari (es. tipologia di visita), è richiesto il consenso dell’utente.
- Per dati non sanitari, la base giuridica è l’esecuzione del contratto.
2- Dati personali dei professionisti sanitari
- Trattati nell’ambito del rapporto contrattuale con la piattaforma.
3- Dati sanitari dei pazienti trattati dai professionisti
- Utilizzati solo per finalità di diagnosi e cura.
- Non è necessario il consenso, poiché il trattamento rientra nelle attività mediche.
Il documento del Garante richiama diversi principi fondamentali:
- Divieto di diffusione: i dati sulla salute non possono essere diffusi e possono essere comunicati a terzi solo con un’idonea base giuridica.
- DPIA obbligatoria: la valutazione d’impatto sulla protezione dei dati è sempre necessaria, data la natura sensibile e su larga scala dei trattamenti.
- Ruoli privacy chiari: il gestore della piattaforma può essere Titolare (per i dati amministrativi) e Responsabile (per quelli sanitari trattati per conto del medico).
- Trasparenza e linguaggio semplice: le informative devono essere chiare, accessibili e comprensibili a chiunque.
- Trattamenti transfrontalieri: obbligo di informare gli utenti quando i dati vengono trattati in più Paesi o coinvolgono soggetti esteri.
- Privacy by Design e by Default: la protezione dei dati deve essere incorporata sin dalla progettazione delle piattaforme.
- Sicurezza elevata: misure come cifratura, autenticazione a più fattori, protocolli sicuri e sistemi di monitoraggio sono imprescindibili.
Un aspetto importante evidenziato dal compendio è la distinzione tra le piattaforme che gestiscono prenotazioni e comunicazioni e gli strumenti di telemedicina, i quali hanno come obiettivo diretto la cura del paziente.
Conclusione
Con queste indicazioni, il Garante intende rafforzare la tutela dei cittadini e garantire che lo sviluppo di servizi digitali in ambito sanitario avvenga nel pieno rispetto dei principi di protezione dei dati.
L’obiettivo è duplice: favorire l’innovazione tecnologica e, allo stesso tempo, proteggere i diritti e le libertà fondamentali delle persone.
Vuoi che lo adatti con uno stile più giornalistico/divulgativo (per incuriosire un lettore non esperto) oppure più professionale/tecnico (per un pubblico di addetti ai lavori)?
Fonte articolo: Sanità e Ricerca scientifica – Garante Privacy