Siti e app per il contatto tra medico e paziente: le indicazioni del Garante

Dati sanitari, le nuove indicazioni del Garante Privacy

Siti e app per il contatto tra medico e paziente: pubblicato dal Garante Privacy il compendio sul trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app.

Lo scopo del compendio è quello di garantire, fin dalla fase di progettazione dei servizi, un adeguato livello di protezione dei dati personali.

In un contesto variegato come questo, è naturale chiedersi se sia possibile identificare un unico Titolare del trattamento.

In merito, l’Autorità ha chiarito che sussistono diversi Titolari, a seconda delle tipologie di trattamenti effettuati. In particolare:

Per il trattamento dei dati degli Utenti che utilizzano le piattaforme per prenotare servizi sanitari, in riferimento ad attività quali la registrazione e creazione degli account, nonché la fornitura di altri servizi aggiuntivi (come la visualizzazione dello storico degli appuntamenti) è Titolare il proprietario o gestore della piattaforma;
Per il trattamento dei dati dei Professionisti sanitari che si avvalgono delle piattaforme, circa i dati strettamente necessari per l’esecuzione del contratto di servizio tra lo stesso e il professionista, continua ad essere Titolare il proprietario o gestore della piattaforma;
Per i Trattamenti di dati sulla salute dei pazienti, che possono essere stati condivisi con il professionista sanitario – tramite la piattaforma – durante la prenotazione di una visita specialistica, è Titolare il professionista. Quest’ultimo è tenuto a trattare i dati nel rispetto della specifica disciplina sul trattamento dei dati personali nell’ambito del rapporto medico – paziente ai sensi dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento e artt. 75 e ss. del Codice della Privacy. In tal caso, il proprietario o gestore della piattaforma potrebbe essere designato responsabile del trattamento per lo svolgimento di compiti tecnico-amministrativi.

In tale contesto il Titolare del trattamento è sottoposto ad obblighi di adempimento?

Considerato che i trattamenti menzionati coinvolgono “dati sensibili o aventi carattere altamente personale”, “dati relativi ad interessati vulnerabili”, “trattamento di dati su larga scala” e “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative”, è posto a carico del Titolare l’obbligo di svolgere una preventiva valutazione di impatto sui trattamenti, c.d. DPIA (ai sensi dell’art. 35 Reg. Ue 679/2016);

Il Titolare deve, altresì, fornire agli Interessati, prima del trattamento, in modo chiaro e sintetico, le informazioni dettagliate contenute nell’articolo 13 del Regolamento, nel caso in cui i dati siano ottenuti direttamente dagli stessi, o dall’articolo 14 se i dati siano ottenuti da Terzi.

Inoltre, ai sensi dell’art. 32 del Regolamento, il Titolare è tenuto ad implementare le misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio derivante dal trattamento, il che può includere, se necessario, la “cifratura dei dati personali”.

In merito, i proprietari e/o gestori delle piattaforme dovranno adottare strumenti quali:

  • procedure di autenticazione informatica a più fattori
  • meccanismi di blocco della app in caso di inattività (es. time out) o di chiusura della medesima
  • misure volte alla riduzione degli errori di omonimia/omocodia
  • procedure di verifica/convalida del dato di contatto scelto dall’utente (es. indirizzo di posta elettronica, numero di cellulare)
  • sistemi di monitoraggio anche automatici per rilevare accessi non autorizzati o anomali alle piattaforme nonché diverse
  • ulteriori soluzioni idonee alla tutela dei dati.

In conclusione

Il provvedimento dell’Autorità mira a garantire che il trattamento dei dati sensibili dei pazienti avvenga nel rispetto delle normative vigenti, al fine di accrescere la fiducia e la sicurezza nell’utilizzo dei servizi online correlati.

 

Continua a leggere altre news sul tema sul nostro blog.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!