Il Garante per la protezione dei dati personali descrive i principi generali su cui deve basarsi il trattamento dei dati personali connesso all’utilizzo delle piattaforme digitali che mettono in contatto professionisti sanitari e pazienti. Un utile punto di partenza per l’elaborazione degli adempimenti previsti dalla disciplina.
Le sempre più diffuse piattaforme online che mettono in contatto professionisti sanitari e pazienti implicano il trattamento di dati di diverse categorie di interessati da parte di più soggetti – che intervengono con ruoli diversi di protezione dei dati personali – per distinte finalità e con basi giuridiche diverse.
Si individuano cioè tre distinte tipologie di trattamento. In primo luogo i trattamenti dei dati dei pazienti, anche relativi alla salute, svolti dal gestore della piattaforma per offrire servizi di tipo amministrativo, quali la prenotazione della visita, su richiesta del paziente stesso. In secondo luogo i trattamenti dei dati dei professionisti sanitari per l’esecuzione del contratto tra il gestore della piattaforma e il professionista sanitario. Ed infine i trattamenti dei dati relativi alla salute dei pazienti svolti per finalità di diagnosi e cura dal professionista sanitario e quindi da un soggetto tenuto al segreto professionale ai sensi di quanto previsto dall’articolo 9, paragrafo 2, lettera h) e paragrafo 3 del GDPR.
E’ partendo da questo presupposto che il Garante per la protezione dei dati personali, con il documento pubblicato in data 28 marzo 2024 (“Compendio sul trattamento dei dati personali effettuato attraverso piattaforme vote a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app”), ha richiamato in 10 punti gli obblighi e gli adempimenti relativi al trattamento dei dati personali a cui i gestori delle piattaforme e i professionisti sanitari che le utilizzano devono prestare maggiore attenzione.
Essenziale è la corretta identificazione dei ruoli dei soggetti coinvolti nella specifica tipologia di trattamento: se il gestore della piattaforma è titolare con riferimento ai trattamenti dei dati dei pazienti per finalità di tipo amministrativo, ad essere titolare del trattamento dei dati dei pazienti per finalità di diagnosi e cura non può che essere il professionista sanitario, potendo il gestore della piattaforma con riferimento a tale trattamento essere individuato quale responsabile del trattamento qualora effettui trattamenti per conto del professionista, come la conservazione della documentazione medica dei pazienti.
Il documento affronta quindi, richiamando peraltro per lo più principi già noti, altri temi centrali per la realizzazione dei servizi digitali nel rispetto della disciplina in materia di protezione dei dati personali: l’individuazione della base giuridica (se il consenso dei pazienti è necessario per il trattamento dei dati relativi alla salute da parte del gestore della piattaforma, non lo è per il trattamento da parte del professionista sanitario); la valutazione di impatto; il trasferimento dei dati in Paesi Terzi (posto che frequentemente i gestori delle piattaforme sono basati in Paesi Terzi ); le informazioni da rendere agli interessati; il principio di privacy by design e la sicurezza dei dati.