IL PROVVEDIMENTO

Privacy e app mediche, le nuove regole del Garante

L’Autorità ha fornito chiarimenti in relazione al trattamento dei dati personali in ambito sanitario. Per le applicazioni via smartphone nessun consenso in caso di cura in modalità di telemedicina, mentre ai fini promozionali e pubblicitari sarà necessario il via libera. L’analisi dell’avvocato Micol Mimun

Pubblicato il 21 Mar 2019

Micol Mimun

Legal Grounds

medical_597405416

L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 55 del 7 marzo 2019, ha fornito alcuni chiarimenti in relazione al trattamento dei dati personali in ambito sanitario, che rispondono ai numerosi quesiti che il Garante ha ricevuto in questi primi mesi di applicazione del Regolamento (UE) 2016/679 (ormai noto come Gdpr).  Tra i chiarimenti di maggior interesse, risulta sicuramente quello relativo ai trattamenti per “finalità di cura”, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute, effettuati da un soggetto professionista sanitario soggetto al segreto professionale o da altra persona anche essa soggetta all’obbligo di segretezza. Per questi trattamenti, dunque, diversamente dal passato, il professionista sanitario, non dovrà più richiedere il consenso del paziente e ciò indipendentemente dal fatto che operi in qualità di libero professionista ovvero all’interno di una struttura sanitaria pubblica o privata.

APP MEDICHE: ECCO LE NUOVE REGOLE

A questi trattamenti sono equiparati anche i trattamenti tramite applicazioni mediche via smartphone, quando la finalità perseguita è quella di fornire al paziente un servizio di telemedicina, telesorveglianza o di monitoraggio. Diversamente, il consenso dell’interessato/utente che utilizza un’applicazione medica, è ancora necessario quando il trattamento dei suoi dati personali tramite applicazione mediche afferisce, solo in senso lato, alla cura del paziente/utente ma non è ad essa strettamente necessario (ad esempio, nel caso di un’applicazione medica che consente di archiviare gli esami eseguiti durante la gravidanza o fornisce indicazioni su come migliorare la qualità del sonno).  In questi altri casi, infatti, il titolare del trattamento, dovrà trattare i dati acquisendo il consenso dell’interessato (utente/paziente) o in base ad un altro presupposto di liceità.

WHITE PAPER
Digital Services Act: una panoramica sulle regole che portano i valori europei nel mondo digitale
Privacy/Compliance
LegalTech

Sull’argomento, il Garante ha richiamato le Faq del 17 luglio 2018 in materia di “applications mobiles en santé et protection des donnes personnelles” della Commission Nationale de l’Informatique et des Libertés. Con riferimento al consenso, in particolare, l’Autorità francese ha chiarito che, se l’applicazione per smartphone fornisce servizi per il “benessere” dell’utente/paziente, è necessario che quest’ultimo presti il proprio consenso espresso e venga preventivamente informato in merito al trattamento dei suoi dati personali. Inoltre, il consenso dell’interessato/utente deve essere richiesto anche quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale. A tal fine, all’utente, non potrà essere richiesto di accettare, nello stesso tempo, le condizioni generali di utilizzo dell’applicazione medica e acconsentire al trattamento dei suoi dati personali. Diversamente, se l’applicazione medica viene utilizzata come strumento di assistenza sanitaria (ad esempio, un’applicazione utilizzata nel contesto di un dispositivo di telesorveglianza medica), il titolare del trattamento non dovrà, per questa finalità, chiedere all’utente di prestare il proprio consenso, in linea con quanto indicato anche dal Garante Privacy.

In generale, la disciplina in materia di trattamento dei dati personali trova applicazione con riferimento alle applicazioni per smartphone che si caratterizzano per fornire un servizio a distanza all’utente/paziente (monitoraggio da parte di un professionista, controllo medico, ecc.) e che comportano una connessione esterna (come nel caso del cloud). Diversamente, la normativa di riferimento, non è applicabile se l’applicazione per smartphone registra e conserva localmente nel device dell’utente (smartphone o tablet) i dati personali per finalità esclusivamente personali, senza connessione esterna. Infatti, il discrimine (ai fini dell’applicazione della normativa sul trattamento dei dati personali), secondo l’Autorità francese, è rappresentano da questo elemento, ovvero dall’utilizzo o meno dei dati per finalità esclusivamente personali.  Secondo l’Autorità francese, inoltre, il titolare del trattamento dei dati personali in relazione alle applicazioni mediche andrà individuato caso per caso, in ragione del trattamento svolto. Il titolare del trattamento dovrà garantire la riservatezza e sicurezza dei dati dell’utente/paziente dell’applicazione medica, adottando misure tecniche e di natura organizzativa per tutelare i dati personali in conformità al principio di privacy by design e di privacy by default.

CONSENSO OBBLIGATORIO PER ATTIVITA PROMOZIONALI

Il consenso dell’interessato dovrà continuare ad essere richiesto non solo con riferimento ai trattamenti di dati connessi all’utilizzo di applicazioni mediche per smartphone (per finalità diverse da quelle strettamente di cura) ma anche nel contesto di attività preordinate alle fidelizzazioni della clientela (effettuate dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN)) o svolte per finalità commerciali o promozionali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza) e per i trattamenti effettuati attraverso il Fascicolo sanitario elettronico. Infatti, in questi casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Gdpr, il cui rispetto è ora espressamente previsto dall’articolo 75 del Codice Privacy. Tuttavia, il Garante non esclude che, un’eventuale opera di “rimeditazione” normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo sanitario elettronico, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.  Alla luce del nuovo quadro giuridico, inoltre, sarà il Garante ad individuare nell’ambito delle suddette misure di garanzia, i trattamenti che potranno essere effettuati senza il consenso dell’interessato.

Tuttavia, più che di chiarimento del Garante Privacy in materia di consenso per finalità di cura, ritengo che si debba parlare di conferma di un revirement legislativo rispetto alla precedente disciplina, come risulta dalla lettura del nuovo articolo 2-septies, comma 1, del Codice Privacy che ha attuato l’articolo 9, paragrafo 4, del Gdpr (“Gli stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”) prevedendo che i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo 9 del GDPR (tra i quali ricorre l’ipotesi della citata finalità di cura) ed in conformità alle misure di garanzie disposte dal Garante con cadenza biennale.

Per questo, se è vero che da un lato le misure di garanzie che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura potranno prevedere ulteriori condizioni per consentire il trattamento dei suindicati dati, dall’altro, solo limitatamente ai dati genetici, e in caso di particolare ed elevato livello di rischio, le misure di garanzia potranno individuare il consenso o altre cautele specifiche come ulteriori misure di protezione dei diritti dell’interessato (articolo 2-septies, comma 6, del Codice Privacy).

Pertanto, in considerazione di queste ultime disposizioni, nei casi di trattamento di dati personali per finalità di cura, il consenso oltre a non essere (più) necessario, non potrà nemmeno essere nel futuro previsto dal Garante quale ulteriore misura di protezione, se non in relazione al trattamento dei dati genetici (articolo 2-septies, comma 6, del Codice Privacy). In generale, andrà prestata opportuna attenzione nel definire la necessità o meno del consenso e la relativa base giuridica del trattamento dei dati personali, e ciò soprattutto in ambito sanitario. Di certo, questa esenzione prevista dal GDPR e confermata dal Garante Privacy, avrà incidenza anche a livello di procedure e processi aziendali interni.

REFERTAZIONE ONLINE, QUI LE REGOLE CAMBIANO

Diverso è il caso della refertazione on-line per il quale il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto.

Ulteriori chiarimenti riguardano le informazioni da fornire all’interessato che vanno rese in forma coincisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro. Spetta al titolare, in conformità al principio di accountability, scegliere le modalità più appropriate per fornire l’informativa, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato. Il Garante, ha inoltre precisato che il GDPR non stravolge l’impianto delle informazioni da rendere all’interessato ma prevede solo alcuni elementi nuovi rispetto all’articolo 13 del Codice Privacy. Pertanto, l’informativa predisposta in passato dal titolare, dovrebbe essere aggiornata e integrata solo con riferimento a questi elementi di novità previsti dagli articoli 13 e 14 del GDPR (quale ad esempio, l’indicazione chiara delle data retention, che può essere fornita dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarla), oltre a renderla più user friendly (ad esempio, tramite l’utilizzo di icone) per l’interessato ed integrata all’interno di un sistema di privacy-by-design e privacy-by-default.

Con specifico riferimento alle attività poste in essere da titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da particolare complessità, il Garante suggerisce di fornire all’interessato le informazioni previste dal GDPR in modo “progressivo”, secondo le specifiche esigenze del paziente. Ad esempio, nei confronti delle generalità dei pazienti, la struttura sanitaria potrebbe fornire solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie. Invece, gli elementi informativi relativi a particolari attività di trattamento (ad esempio, sperimentazioni, consegna di referti on-line, ecc.) potrebbero essere resi, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Penso, inoltre, che questo sistema a “progressione” suggerito dal garante, consentirebbe anche meglio al titolare del trattamento di rispettare il concetto di “granularità” del consenso oltre che andare a “beneficio di una maggiore attenzione alle informazioni rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento”.

Per quanto riguarda la designazione del Data protection Officer (DPO), il Garante ha chiarito che anche i trattamenti dei dati personali svolti da un ospedale privato (non solo quindi da un’azienda sanitaria appartenente al SSN) devono, in linea di principio, essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, in ragione della natura, in via generale, del trattamento “su larga scala” dei dati sulla salute svolto dal titolare.

Non sono tenuti, invece, pur essendo sempre una facoltà, a nominare il DPO, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie se non effettuano trattamenti di dati personali su larga scala. Non sono invece considerati trattamenti su larga scala, quelli svolti dal singolo professionista sanitario come anche spiegato dal Gruppo di lavoro Articolo 29 per la protezione dei dati personali.

Il Garante, infine, ha sottolineato l’importanza dei registri delle attività di trattamento che “rappresentano uno degli elementi per la definizione del quadro generale di accountability” previsto dal GDPR. Infatti, per dimostrare la compliance a tale disciplina, il titolare (ma anche il responsabile esterno) devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio. In generale, la tenuta del registro delle attività di trattamento è obbligatoria in ambito sanitario, anche per i singoli professionisti sanitari che agiscono in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, le farmacie, le parafarmacie e le aziende ortopediche.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti trattati

Approfondimenti

G
GDPR

Articolo 1 di 2