Il Garante Privacy ha recentemente pubblicato un compendio sul trattamento dei dati personali effettuato attraverso piattaforme web o app che mettono in contatto i pazienti con i professionisti sanitari, fornendo indicazioni specifiche.
Queste piattaforme consentono servizi assistenziali, quali la scelta del professionista, la prenotazione delle visite e l’invio e l’archiviazione di documenti sanitari.
Obblighi di adempimento
Il Garante ha varato un documento di 10 punti che fornisce linee guida sugli obblighi e gli adempimenti da seguire durante il trattamento di dati personali.
Questo documento mira a garantire che la gestione di tali informazioni avvenga nel rispetto delle normative vigenti, contribuendo a rafforzare la fiducia e la sicurezza nell’utilizzo dei servizi online correlati.
Considerando che i trattamenti menzionati coinvolgono dati sensibili o aventi carattere altamente personale, Titolare è tenuto a effettuare una valutazione di impatto sulla protezione dei dati, nota come DPIA – Data Protection Impact Assessment – ai sensi dell’art. 35 del Regolamento UE 679/2016.
Contenuto del documento
Il recente documento fornisce indicazioni riguardanti il trattamento dei dati personali – inclusi quelli relativi alla salute – effettuato tramite piattaforme accessibili via web o app.
Tali piattaforme hanno l’obiettivo di agevolare l’interazione tra gli utenti e i professionisti sanitari, tra cui i Medici di Medicina Generale (MMG) e i Pediatri di Libera Scelta (PLS).
Il documento in questione fornisce chiarimenti relativi a tre categorie principali di trattamento dati:
- Dati dei pazienti: questi dati sono necessari per fornire loro servizi correlati all’assistenza sanitaria richiesta, come la creazione di un account o la prenotazione di una visita medica. Tale trattamento è finalizzato a provvedere un servizio amministrativo all’utente correlati alla prestazione sanitaria richiesta – previa sua specifica richiesta.
L’utente deve manifestare il consenso in modo libero, specifico e informato per questo tipo di trattamento. In aggiunta, se il trattamento mira a ulteriori scopi – non pertinenti con le motivazioni originali della raccolta dei dati – bisogna richiedere un ulteriore consenso.
- Dati sulla salute dei pazienti: questi dati sono trattati per scopi di diagnosi e cura (per esempio, la condivisione di documenti sanitari). Questo trattamento è effettuato da parte di un professionista sanitario soggetto al segreto professionale
- Dati personali dei professionisti sanitari: questi dati sono trattati per vari scopi – tra cui la gestione dell’agenda del medico e le recensioni degli utenti. Questo trattamento avviene nel contesto di un contratto di servizi tra il gestore della piattaforma e il medico.
Ulteriori novità
Per ciascuna delle tre diverse macro-tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app. Infatti, emerge la necessità di adottare misure di sicurezza tecniche e organizzative per ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.
Una sezione specifica del compendio è dedicata all’obbligo per le piattaforme di condurre una valutazione preventiva dell’impatto sul trattamento dei dati, soprattutto quando vi è un rischio elevato per i diritti e le libertà delle persone fisiche.
Infine, un paragrafo è dedicato alle informazioni da fornire ai pazienti. Queste informazioni devono essere semplici, chiare e facilmente accessibili, in conformità ai principi di correttezza e trasparenza.