App e siti che offrono all’utente la possibilità di cercare, visualizzare, selezionare, contattare strutture e professionisti sanitari sono sempre più diffuse. Insieme alla comodità offerte dalla tecnologia per la gestione dei servizi di cura, insieme all’accessibilità promossa dal web, l’utilizzo di queste app che aiutano a gestire il rapporto medico-paziente non deve portare a sottovalutare i rischi connessi alla tutela della privacy.
L’ambito è pur sempre quello della sanità… Non a caso, sul trattamento dei dati personali attraverso piattaforme che mettono in contatto i pazienti con i professionisti sanitari si è espresso recentemente il Garante. Attraverso un Compendio in 10 punti, fornisce le chiavi per interpretare e individuare gli adempimenti da rispettare in queste circostanze particolari.
Il documento è rivolto innanzitutto ai gestori delle piattaforme. L’autorità evidenzia infatti alcuni importanti temi di sicurezza, sottolineando come spesso tali App vedano la partecipazione di società straniere o extra europee. Si ribadisce l’importanza di adottare adeguate misure di privacy by design, ai fini di un corretto sviluppo dell’applicativo, e si determina l’obbligo di svolgere una valutazione di impatto (i fattori di rischio, dopotutto, sono svariati: dati particolari, soggetti vulnerabili, nuove tecnologie…).
Ma l’argomento è certamente rilevante anche per ogni professionista sanitario che di tali piattaforme intenda fare uso. Prima di tutto, pertanto, per una corretta attribuzione di responsabilità, vediamo la distinzione nelle 3 macro categorie di dati (dati degli utenti, dati dei professionisti sanitari, dati dei pazienti) da cui discendono tutte le successive considerazioni.
Indice
Come trattare i dati riferiti all’utente?
In tema di privacy delle app per la gestione dei rapporti medico-paziente, la prima categoria di trattamenti riguarda le operazioni di carattere amministrativo rivolte al semplice utente. Parliamo di attività che vanno dalla registrazione e creazione dell’account, a funzionalità interne alla piattaforma, quali la possibilità di visualizzare lo storico dei propri appuntamenti, di ricevere informazioni sulla salute pubblica, comunicazioni promozionali sui servizi della piattaforma stessa.
Tali attività, solo apparentemente banali, comporteranno trattamenti di dati potenzialmente delicati. E tuttavia non possono rientrare nell’insieme delle operazioni che è possibile gestire con modalità semplificate per finalità di prevenzione, diagnosi e cura.
I servizi specifici di una piattaforma di questo tipo, fuoriescono dalle operazioni strettamente necessarie all’erogazione di prestazioni sanitarie. Pertanto, si dovrà valutare l’acquisizione di uno specifico consenso al trattamento dei dati.
Vero è che attività come la mera creazione di un account, ove non comporti l’acquisizione di dati particolari, non richiederà di per sé l’acquisizione di un consenso, dovendosi preferire la base giuridica del contratto tra titolare (gestore della piattaforma) e interessato (l’utente).
D’altra parte, a seconda delle specifiche attività, i dati trattati potrebbero comunque rientrare nelle categorie di dati idonei a rivelare lo stato di salute. La semplice individuazione di una determinata specializzazione medica, o la richiesta di una specifica prestazione, possono infatti consentire di registrare le esigenze della persona. E, complessivamente, permettere di rappresentare il suo stato di salute.
Ecco quindi una delle prime attenzioni che il gestore della piattaforma dovrà avere nei confronti dell’utente: informarlo chiaramente sul proprio perimetro di competenza. Distinguere le attività di cui è titolare la piattaforma, da quelle per cui invece risponde unicamente il professionista sanitario.
Come gestire i dati riferiti ai professionisti sanitari?
Il gestore della piattaforma acquisisce anche informazioni non solo sugli utenti finali, ma anche sui professionisti sanitari. L’ambito è quello di un rapporto contrattuale (la registrazione alla piattaforma), che fungerà anche da base giuridica per i principali trattamenti di dati personali. Dati che sarà bene definire con elevata precisione. Ad esempio, oltre alla semplice anagrafica e alle credenziali per l’accesso al servizio, sono trattate anche informazioni relative alle recensioni sul professionista sanitario, espresse ed acquisite dagli utenti? E in che modo sono utilizzate, organizzate e rese pubbliche tali informazioni?
Riflessioni accurate di questo tipo consentiranno di individuare tutti gli adempimenti in termini di correttezza e trasparenza. Al momento della registrazione, il gestore della piattaforma dovrà infatti avere cura di fornire chiaramente al professionista tutte le informazioni previste dall’art. 13 GDPR, ed evidenziare correttamente anche:
- i criteri utilizzati per mostrare il professionista all’utente all’interno dell’elenco, in particolar modo nei casi in cui si faccia ricorsi a specifici algoritmi o tecnologie intelligenti (ad es. per l’ordinamento dei risultati di una ricerca);
- i dettagli specifici sulle modalità di acquisizione, gestione ed elaborazione dei giudizi espressi dal paziente sul professionista sanitario.
Quali adempimenti privacy per i dati di salute dei pazienti?
E infine, cambiamo cappello all’utente del primo punto, e iniziamo a trattarlo come un paziente vero e proprio. La piattaforma potrebbe dopotutto consentire di gestire dati di salute (es. documenti sanitari, prescrizioni, referti). Tali funzioni vanno considerate un servizio ad uso del professionista sanitario – tenuto al segreto professionale – che tratta dati come Titolare ai fini di diagnosi e cura.
Il gestore della piattaforma, in queste circostanze, sarà da riconoscere e designare quale Responsabile del trattamento. Fondamentale, quindi, la nomina formale da redigere ai sensi dell’art. 28 GDPR, che potrebbe essere già inclusa nei termini di servizio presentati al medico all’atto della registrazione. Sempre bene ricordarlo, la designazione a Responsabile non può essere generica o aspecifica. Al contrario, dovrà indicare in maniera puntuale le attività svolte per conto del professionista (tenuta dell’archivio delle prescrizioni, gestione dell’agenda degli appuntamenti, ecc.) e le misure di sicurezza applicate (specifiche sulle azioni di pseudonimizzazione e/o crittografia dei dati).
Anche in questo caso, sono poi necessarie alcune considerazioni mirate sugli obblighi di trasparenza. Obblighi che però, stavolta, pesano proprio sul professionista sanitario che abbiamo detto essere l’unico titolare del trattamento. Le soluzioni potrebbero essere diverse a seconda dei casi, e delle modalità con cui il paziente ha iniziato a utilizzare la piattaforma. Es:
- il paziente ha trovato il medico tramite la piattaforma. In una circostanza di questo tipo (la più comune), l’ideale è che il gestore della piattaforma fornisca l’informativa privacy per conto del professionista. Attenzione, però, ciò non significa che i contenuti debbano essere definiti o stabiliti dal gestore della piattaforma. L’informativa fa sempre riferimento alle decisioni e caratteristiche del Titolare, che deve avere quindi la libertà di modificare, sostituire, adattare la documentazione utilizzata allo scopo.
- il medico utilizza la piattaforma per gestire le relazioni coi pazienti. In tal caso, il medico dovrà presentare in maniera preventiva, eventualmente anche esternamente alla piattaforma, le informazioni privacy sull’uso della piattaforma stessa. Attenzione, però, l’accesso alla piattaforma dovrà essere attivato solo su richiesta del paziente, e facendo chiaramente presente che si tratta di un servizio facoltativo.
Marketing sanitario e compliance. About Health
Per le organizzazioni e i professionisti in sanità, il compendio del Garante è solo l’ultimo esempio di quanto le iniziative di digitalizzazione richiedano la giusta cognizione in fatto di compliance. Allo stesso tempo, consapevolezza del contesto in cui si opera, web-presence ed efficaci piani di comunicazione sono ingredienti ormai essenziali per il marketing. Ecco perché riteniamo che un approccio integrato sia probabilmente la soluzione più efficace per gestire con successo le sfide del mercato, anche e soprattutto per chi opera in sanità privata, in servizi socio-assistenziali, nel mondo della salute e del benessere.
Come Studio Delli Ponti, porteremo la nostra prospettiva all’evento About Health: avremo modo di confrontarci con l’esperienza nel marketing digitale di Noetica, riflettendo insieme sui trend del mercato della sanità raccontati da Nomisma. Per scoprire quali sono le strategie migliori, e più corrette, per il marketing di chi si occupa di salute.