App e siti web di contatto tra medici e pazienti: regole per un corretto trattamento dei dati sanitari
2024-4-3 16:1:48 Author: www.cybersecurity360.it(查看原文) 阅读量:4 收藏

Il Garante Privacy ha pubblicato il compendio per il trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app.

Con tale documento si intende fornire delle preliminari indicazioni sul trattamento dei dati personali anche relativi alla salute effettuato attraverso piattaforme – utilizzabili tramite web e/o app – volte a facilitare la messa in contatto degli utenti con i professionisti sanitari, ivi compresi i Medici di medicina generale (MMG) e i pediatri di libera scelta (PLS).

Il GDPR e il trattamento dei dati relativi alla salute

Occorre premettere che, ai sensi del Regolamento 679/2016 (c.d. GDPR, di seguito “Regolamento”), si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento).

Il considerando n. 35 del Regolamento precisa, poi, che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto, tra le quali sono previsti il consenso dell’interessato e i trattamenti strettamente necessari per finalità di cura svolti da professionisti sanitari soggetti al segreto professionale (artt. 9, par. 2, lett. a) e h) del Regolamento; cfr. provv.to di “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, del 7 marzo 2019, doc. web n. 9091942).

Indicazioni del Garante sul trattamento dei dati sanitari

Il compendio in esame fornisce chiarimenti con riferimento a tre macro-tipologie di trattamenti:

  1. Dati degli utenti/pazienti, necessari per offrire loro servizi correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica). Tale trattamento è volto a offrire un servizio di carattere amministrativo all’utente dietro sua esplicita richiesta e pertanto non può essere ricondotto ai trattamenti per finalità di cura di cui all’art. 9, par. 2, lett. h) e par. 3 del Regolamento, che possono essere effettuati esclusivamente da un professionista sanitario soggetto al segreto professionale. Tale manifestazione di volontà deve essere espressa attraverso un consenso, ovvero un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile e revocabile relativa al trattamento dei dati personali. Inoltre, qualora il trattamento sia volto a perseguire ulteriori finalità non compatibili con lo scopo della raccolta (quali ad esempio, quelle relative all’invio di comunicazioni commerciali e di marketing riguardanti ulteriori servizi offerti dai soggetti proprietari/gestori delle piattaforme), il consenso dovrà essere prestato per ciascuna di tali finalità (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali, il 4 maggio 2020; sent. C-673/17, del 1° ottobre 2019 e C-61/19, dell’11 novembre 2020).
  2. Dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti). Tale trattamento è effettuato nell’ambito di un rapporto contrattuale tra il soggetto proprietario/gestore della piattaforma e il professionista sanitario e può riguardare anche la recensione eventualmente espressa dall’utente sul professionista sanitaria. Pertanto, lo stesso è lecito nella misura in cui è necessario per l’esecuzione di un contratto di servizi tra il soggetto che gestisce la piattaforma e lo stesso professionista sanitario (art. 6, par. 1, lett. b) del Regolamento).
  3. Dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti). Tale trattamento è effettuato per finalità diagnosi e cura da o sotto la responsabilità di un professionista sanitario tenuto al segreto professionale (art. 9 par. 2, lett. h) e par. 3 del Regolamento).

Si specifica che, l’adesione a tali servizi da parte dell’utente, non essendo prevista da nessuna disposizione normativa, deve intendersi come facoltativa anche qualora tali strumenti siano offerti da professionisti sanitari convenzionati con il Servizio Sanitario Nazionale come il MMG o il PLS.

La disciplina in tema di sanità digitale

Per una trattazione esaustiva, occorre richiamare quanto il legislatore ha poi espressamente disciplinato in tema di sanità digitale, come per il referto online ed il fascicolo sanitario elettronico (FSE).

Con riferimento a quest’ultimo, sono state individuate misure omogenee sul territorio nazionale a tutela delle libertà e dei diritti fondamentali dell’interessato e dei parametri di qualità e integrità dei dati personali trattati (cfr. parere del 22 agosto 2022 e dell’8 giugno 2023 doc. web nn. 9802729 e 9900433).

In particolare, la recente riforma del FSE, su cui il Garante ha espresso il richiamato parere l’8 giugno 2023, prevede che sia proprio il MMG/PLS a compilare una partizione del Fascicolo denominata “Profilo sanitario sintetico”, nonché a poter accedere a tutti i documenti sanitari presenti nel FSE (decreto del Ministero della salute, del 7 settembre 2023 – in G.U. n. 249 del 24 ottobre 2023)

Inoltre, il compendio identifica i ruoli, le responsabilità e gli obblighi in capo a siti e app e le misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Ruoli e responsabilità

In relazione ai ruoli e le responsabilità, rispetto alle tre macro-tipologie di trattamento sopra individuate, si illustrano tre possibili scenari in ordine all’individuazione dei ruoli del trattamento:

  1. Per trattamenti dei dati personali degli utenti: il proprietario/gestore della Piattaforma assume il ruolo di titolare del trattamento dei dati strettamente necessari che siano raccolti per la registrazione e la creazione degli account e per la fornitura di altri servizi messi a disposizione da quest’ultimo (es. visualizzazione dello storico degli appuntamenti, invio di comunicazioni per ricevere informazioni sulla salute pubblica e comunicazioni promozionali sui servizi offerti).
  2. Per trattamenti dei dati personali dei professionisti sanitari: il proprietario/gestore della Piattaforma assume il ruolo di titolare del trattamento dei dati personali dei professionisti sanitari strettamente necessari per l’esecuzione di un contratto di servizi tra le parti;
  3. Per trattamenti di dati sulla salute dei pazienti che potrebbero essere venuti in contatto con il professionista sanitario attraverso la piattaforma, in occasione, ad esempio della prenotazione di una visita specialistica, eventualmente effettuati dal predetto professionista per finalità di cura, lo stesso professionista opera in qualità di titolare del trattamento ed è pertanto tenuto a trattare i dati nel rispetto della specifica disciplina sul trattamento dei dati personali per tali finalità – nell’ambito del rapporto medico – paziente (art.9, par. 2, lett. h) e par. 3 del Regolamento e artt. 75 e ss. del Codice). Rispetto a tali trattamenti il proprietario/gestore della piattaforma potrebbe essere designato responsabile del trattamento dal professionista sanitario, qualora effettui trattamenti di tipo tecnico amministrativo per suo conto quale, ad esempio, la gestione dell’agenda degli appuntamenti, la raccolta, l’archiviazione e la conservazione della documentazione medica dei propri pazienti. Resta fermo, che nell’espletamento di tali trattamenti, per conto del professionista (titolare del trattamento), il proprietario/gestore della piattaforma può agire esclusivamente in qualità di responsabile del trattamento; in tale specifico ruolo, quindi, esso non è autorizzato a trattare i dati sulla salute degli utenti per finalità di cura

Valutazione d’impatto e misure di sicurezza

Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Vi è pertanto la necessità di considerare la valutazione d’impatto non come un adempimento statico da effettuare una tantum ma come un processo soggetto a revisione continua.

I proprietari/gestori delle piattaforme dovranno inoltre prevedere a titolo esemplificativo e non esaustivo le seguenti misure:

  1. procedura di adesione alla piattaforma da parte dello specialista che preveda la verifica del possesso della qualifica professionale (es. invio di MARZO 2024 un codice OTP all’indirizzo PEC -censito su INI-PEC- del medesimo professionista);
  2. procedura di verifica/convalida del dato di contatto scelto dall’utente (es. indirizzo di posta elettronica, numero di cellulare);
  3. misure volte alla riduzione degli errori di omonimia/omocodia; d) procedure di autenticazione informatica a più fattori;
  4. meccanismi di blocco della app in caso di inattività (es. time out) o di chiusura della medesima;
  5. sistemi di monitoraggio anche automatici per rilevare accessi non autorizzati o anomali alle piattaforme. Si ricorda infine che eventuali cookies e altri strumenti di tracciamento non strettamente necessari alla fornitura del servizio possono essere utilizzati, a condizione che l’utente abbia espresso il proprio consenso e sia stato adeguatamente informato (cfr. Linee guida Cookie e altri strumenti di tracciamento – 10 giugno 2021, doc. web n. 9677876).

Informazioni da rendere al paziente

Un paragrafo, infine, è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili, nel rispetto dei principi di trasparenza e correttezza.

In termini pratici, tenuto conto delle richiamate tre macro-tipologie di trattamento svolte attraverso le piattaforme, si sottolinea l’importanza che tra le informazioni da rendere agli interessati siano chiaramente rappresentati gli elementi che seguono:

  • Trattamenti dei dati personali degli utenti che si registrano sulle piattaforme, è importante che siano chiaramente illustrati, in particolare:
  • i trattamenti svolti dal proprietario/gestore della piattaforma in qualità di titolare e quelli eventualmente svolti con il ruolo di responsabile, evidenziando, in particolare, per ciascuna di queste fattispecie, le diverse finalità del trattamento, le relative basi giuridiche e i tempi di conservazione dei dati;
  • la natura transfrontaliera o meno del trattamento con l’indicazione dell’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento, competente ad agire in qualità di autorità di controllo capofila, secondo la procedura di cui all’articolo 60 del Regolamento;
  • eventuali trattamenti dei dati personali, inclusi quelli sulla salute, per finalità ulteriori rispetto a quelle di cura, come ad es. di natura commerciale, avendo cura di indicare per ciascuna finalità la corretta base giuridica del trattamento (quale ad esempio il consenso dell’interessato).
  • Trattamenti dei dati personali dei professionisti sanitari: il proprietario/gestore della Piattaforma, in qualità di titolare, dovrà fornire ai professionisti sanitari, prima che il trattamento abbia inizio e quindi prima che questi ultimi si registrino alla piattaforma, tutte le informazioni di cui all’art. 13 del Regolamento, tra cui i tempi di conservazione, avendo cura di specificare:
  • i criteri in base ai quali viene visualizzato dall’utente l’elenco dei professionisti a seguito della ricerca con particolare riferimento all’eventuale uso di algoritmi o sistema di intelligenza artificiale;
  • eventuali trattamenti in ordine ai giudizi di gradimento espressi dal paziente sul professionista sanitario.
  • Trattamenti di dati sulla salute dei pazienti che potrebbero essere venuti in contatto con il professionista sanitario attraverso la piattaforma in occasione, ad esempio della prenotazione di una visita specialistica, eventualmente effettuati dal predetto professionista per finalità di cura, in qualità di titolare, è necessario che:
  • prima che il trattamento di cura abbia inizio, sia resa ai propri pazienti un’autonoma e specifica informativa con tutti gli elementi di cui all’art. 13 del Regolamento;
  • qualora, prima di entrare in contatto con il paziente per l’erogazione delle prestazioni sanitarie, il professionista sanitario decida anche di usufruire dei servizi offerti dalla piattaforma per la gestione del rapporto medico-paziente e ciò comporti un trattamento di dati sulla salute dei propri pazienti da parte della piattaforma per conto del professionista sanitario, in qualità di responsabile, il professionista sanitario può prevedere, nell’atto di designazione ai sensi dell’art. 28 del Regolamento, che l’informativa sia resa al paziente dal proprietario/gestore della piattaforma per conto del predetto professionista;
  • qualora la piattaforma sia utilizzata dai professionisti sanitari quali i MMG e dai PLS per gestire le proprie relazioni con i pazienti, i servizi potranno essere offerti solo a seguito di una espressa richiesta da parte dell’interessato, il quale dovrà essere preventivamente e chiaramente informato della facoltatività di utilizzo di questo canale per entrare in contatto con i predetti medici.

文章来源: https://www.cybersecurity360.it/news/app-e-siti-web-di-contatto-tra-medici-e-pazienti-regole-per-un-corretto-trattamento-dei-dati-sanitari/
如有侵权请联系:admin#unsafe.sh