In un nostro recente intervento abbiamo trattato il tema delle piattaforme on line che ormai da qualche anno caratterizzano il mercato sanitario affiancandosi ai “tradizionali” attori, quali ospedali, ambulatori, professionisti sanitari e aziende farmaceutiche e/o biomedicali, fornendo una panoramica delle principali disposizioni normative che le piattaforme devono rispettare in ambito sanitario.
Le piattaforme offrono per lo più servizi come la prenotazione di visite specialistiche, la scelta del medico in base alla specializzazione e alla zona in cui opera, la gestione dell’agenda degli appuntamenti del professionista, l’archiviazione dei documenti sanitari o il pagamento delle prestazioni erogate al paziente.
Alla fine di marzo, il Garante per la protezione dei dati personali ha pubblicato il Compendio sul trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app , con cui fornisce indicazioni su come devono essere trattati i dati personali nei casi in cui il contatto tra medico e paziente avvenga attraverso una piattaforma o una app.
Le tipologie di trattamento
Il Garante prende in considerazione tre macro-tipologie di trattamenti caratterizzati da distinte finalità e basi giuridiche:
- piattaforme che consentono all’utente di scegliere e prenotare una prestazione con un professionista sanitario. Il loro uso comporta il trattamento di dati personali dell’utente, che possono anche rivelare informazioni sullo stato di salute (in base alla tipologia di prestazione sanitaria richiesta o alla specializzazione del professionista sanitario),
- piattaforme fornite ai professionisti sanitari per agevolare il contatto con potenziali pazienti, che possono contenere anche le recensioni espresse dai pazienti sul professionista sanitario,
- piattaforme che permettono operazioni strettamente necessarie per la diagnosi e la cura del paziente da parte del professionista sanitario (come, per esempio, la condivisione di documenti sanitari). Il trattamento dei dati personali sulla salute del paziente che ne consegue è effettuato dal professionista sanitario nell’ambito del rapporto medico-paziente.
I ruoli privacy
Mentre per le prime due tipologie di trattamento il Garante indica nel gestore della piattaforma il Titolare del trattamento, per la terza secondo il Garante il gestore della piattaforma deve essere designato Responsabile del trattamento dal professionista sanitario (che opera in qualità di Titolare del trattamento nell’ambito del rapporto medico-paziente) rispetto ai trattamenti di tipo tecnico amministrativo svolti per suo conto (es. la gestione dell’agenda degli appuntamenti e della documentazione medica).
Il compendio del Garante non scioglie però tutti i dubbi e, soprattutto, parte da un presupposto in qualche modo limitante.
Il presupposto del Garante
Il Garante parte dall’assunto per cui i proprietari e gestori delle piattaforme in esame non sono legittimati a trattare i dati sulla salute degli utenti per finalità di diagnosi, assistenza e terapia sanitaria, che sono invece perseguibili esclusivamente da un professionista sanitario soggetto al segreto professionale, conformemente al diritto unionale e nazionale (art. 9, par. 2 lett. h) e par. 3 del Regolamento).
Pertanto, i proprietari e gestori delle piattaforme possono effettuare solo i trattamenti strettamente necessari ad offrire servizi funzionali al rapporto medico paziente, quali quelli di natura amministrativa (es. pagamento delle prestazioni sanitarie) o tecnologica (es. gestione degli account e degli appuntamenti delle visite specialistiche).
La realtà del mondo sanitario è più complessa
Il diritto sanitario consente di erogare prestazioni sanitarie non solo al professionista sanitario, ma anche al soggetto (persona giuridica) che sia titolare di apposita autorizzazione sanitaria (art. 193 RD 1965/1934 – TULLS., art. 8-ter del D.Lgs. 502/92 e relative leggi regionali che hanno disciplinato i requisiti e l’iter per il rilascio delle autorizzazioni). Le società che gestiscono (da sempre) case di cura, laboratori di analisi, ambulatori ecc., in qualità di titolari di apposita autorizzazione sanitaria, erogano la prestazione per il tramite dei propri medici/sanitari contrattualizzati ma in nome proprio.
Tale modello giuridico – disegnato per le strutture fisiche – è stato oggi “traslato” nel mondo virtuale delle piattaforme: sarà il gestore della piattaforma, titolare di una autorizzazione sanitaria rilasciata per una struttura o sede fisica, a instaurare direttamente con il paziente il contratto di erogazione della prestazione sanitaria.
Nello specifico, le Regioni ritengono che l’autorizzazione sanitaria in capo al soggetto che gestisce la struttura fisica (es. il poliambulatorio) consenta automaticamente l’estensione online dell’attività, vale a dire la gestione della piattaforma sanitaria.
Invero, non si può non evidenziare come alcune Regioni abbiano emanato una specifica disciplina per l’autorizzazione sanitaria delle piattaforme: è il caso della regione Emilia-Romagna che con la L.R. n. 22/2019, per prima, ha introdotto l’autorizzazione sanitaria anche per le sole sedi di erogazione di prestazioni in telemedicina.
Le conseguenze dal punto di vista privacy
E’ evidente che, qualora la piattaforma sia di proprietà di una struttura sanitaria autorizzata a erogare prestazioni sanitarie, la società che gestisce la piattaforma sia il soggetto qualificabile come titolare del trattamento dei dati anche per la finalità di diagnosi e cura e come tale determinerà le finalità del trattamento, la cui base giuridica è identificabile nell’art. 9 lett. h) GDPR.
Concludendo, il quadro giuridico disegnato dal Garante è certamente un importante punto di partenza e offre alcuni punti fermi nella gestione del trattamento dei dati tramite le piattaforme in ambito sanitario ma l’analisi, nel rispetto del principio di privacy by design, dovrà tenere conto in primo luogo della natura del soggetto proprietario della piattaforma, facendo poi discendere da questo primo, fondamentale elemento le successive analisi in merito soprattutto ai ruoli privacy (Titolare o Responsabile del trattamento), alle finalità e alle basi giuridiche.
Come sempre quando parliamo di privacy, sarà l’analisi attenta del caso concreto a fornire la soluzione corretta.
