Al giorno d’oggi è ampiamente diffusa l’offerta di servizi per esternalizzare la gestione degli appuntamenti dello studio odontoiatrico, si pensi, ad esempio, all’accesso a portali, app, canali di comunicazione dedicati (sistemi di messaggistica: WhatsApp, Telegram, e-mail), chatbot, servizi di pagamento collegati. Tuttavia, l’impiego di questi strumenti obbliga lo studio medico a prestare particolare attenzione agli aspetti relativi alla privacy, sin dal momento del loro utilizzo iniziale, verificando contratto, termini, condizioni d’uso e applicazione operativa.
Tutto ciò in conformità al principio di responsabilizzazione e accountability, per cui la struttura odontoiatrica, in quanto titolare del trattamento, è e rimane responsabile per tutte le attività di trattamento di dati personali svolte sotto la propria autorità e per proprio conto, indipendentemente dal fatto che faccia ricorso a risorse interne o, anche parzialmente, esterne.
Guardare con superficialità e disattenzione a questi aspetti può causare rischi legali e reputazionali, comportando anche il venire meno della fiducia dei pazienti in quanto soggetti interessati al trattamento dei propri dati personali qualora il trattamento sia svolto in modo illecito o non sicuro.
IL RUOLO DEL FORNITORE E LA RESPONSABILITÀ DELLO STUDIO
A prescindere dalla tecnologia impiegata, il fornitore dei servizi di gestione degli appuntamenti assume il ruolo di responsabile del trattamento e, per l’effetto, la struttura odontoiatrica deve verificarne l’adeguatezza sin dalla fase della selezione, in conformità al disposto dell’art. 28 par. 1 GDPR: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Nel momento in cui le “garanzie sufficienti” siano state adeguatamente documentate, anche mediante certificazioni o standard, è necessario ricorrere a un accordo contrattuale scritto che presenti i contenuti minimi indicati dall’art. 28 par. 3 GDPR; tali contenuti devono essere descritti in concreto con istruzioni riferite alle operazioni da svolgere, evitando di fare ricorso a formule generiche. Resta comunque il fatto che la precisazione dei contenuti dell’accordo per regolamentare i servizi sotto l’aspetto della protezione dei dati personali è e rimane una responsabilità dello studio anche nel caso in cui questo venga proposto dal fornitore mediante moduli o formulari.
Infine, lo studio dentistico/medico/struttura odontoiatrica/poliambulatorio è tenuto a verificare nel tempo che il fornitore sia in grado di rispettare le garanzie predisposte e di adempiere alle istruzioni documentate, dovendo eventualmente indicare i correttivi da applicare.
NATURA DEI DATI DELL’APPUNTAMENTO E CONSEGUENZE OPERATIVE
I dati per la gestione degli appuntamenti presso lo studio medico non sono dati meramente identificativi, rientrando nella categoria dei dati di categorie particolari, in quanto il contesto del loro trattamento è idoneo a rivelare anche delle informazioni circa lo stato di salute della persona a cui fanno riferimento. Poco importa che le stesse non siano complete, o non consentano di determinare in modo certo una patologia, poiché offrono comunque la possibilità di trarre delle informazioni relative alla salute, per loro natura particolarmente sensibili e meritevoli di una specifica protezione. Tali dati rientrano dunque nelle categorie particolari, per le quali è previsto un generale divieto di trattamento a meno che ricorra una delle condizioni specificamente indicate dall’art. 9 par. 2 GDPR. L’impiego di tali strumenti di prenotazione rientra comunque nel processo di diagnosi e cura del professionista della sanità, rendendo così applicabile la condizione di cui all’art. 9 par. 2 lett. h) GDPR.
Per una migliore tutela dell’interessato, lo studio medico dovrebbe offrire modalità alternative per la prenotazione degli appuntamenti.
INFORMAZIONI PER I PAZIENTI E LICEITÀ DEL TRATTAMENTO
La struttura odontoiatrica è tenuta a informare i pazienti, in quanto soggetti interessati al trattamento, non solo circa le prestazioni di diagnosi e cura ma anche in ordine alla gestione della prenotazione o degli appuntamenti e dell’eventuale invio di promemoria.
Lo studio, in coerenza con il principio di trasparenza e correttezza del GDPR, deve fornire in via preventiva le informazioni sugli elementi chiave del trattamento dei dati in una forma concisa, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il paziente deve essere pertanto informato e reso consapevole prima di iniziare il trattamento delle finalità perseguite, delle distinte e corrispondenti basi giuridiche del trattamento, dei diritti sui dati e delle relative modalità di esercizio e del periodo di conservazione dei dati, la natura transfrontaliera o meno del trattamento con l’indicazione dell’autorità di controllo, competente ad agire in qualità di autorità di controllo capofila.
In riferimento alla base giuridica del trattamento, la gestione degli appuntamenti è fondata sulla base giuridica dell’esecuzione di un contratto o misure precontrattuali (art. 6 par. 1 lett. b) GDPR), mentre l’invio di promemoria avviene sulla base del legittimo interesse (art. 6 par. 1 lett. f) GDPR).
Qualora i servizi prevedano ulteriori attività non necessarie alla fase di diagnosi e cura, sarà necessario però acquisire il consenso esplicito (art. 9 par. 2 lett. a) GDPR) da parte del paziente e garantirne la validità in tutti i suoi elementi fondamentali (informato, specifico, libero, inequivocabile, revocabile).
Il Garante per la protezione dei dati personali ha sanzionato diverse strutture sanitarie per avere effettuato il trattamento di dati sanitari tramite app senza indicazione di una corretta base giuridica e in violazione dei principi di correttezza e trasparenza. (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9991183)
Al fine di supportare e accompagnare i professionisti sanitari nelle attività quotidiane di gestione dei dati, il Garante per la protezione dei dati personali ha pubblicato di recente uno specifico compendio sul trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari, accessibili via web e app (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9997624).
Il sopracitato compendio è il risultato delle diverse istruttorie e delle ispezioni svolte dal Garante nel settore delle app sanitarie e dal confronto con gli operatori.
In particolare, il compendio richiama l’attenzione sul profilo della sicurezza informatica: il GDPR prevede che lo studio dentistico in qualità del titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento).
Il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.
Allo stato dell’arte, l’utilizzo di tecniche crittografiche è una delle misure più comunemente adottate per proteggere, in particolar modo, i dati personali degli utenti di un servizio on-line durante la loro trasmissione su rete internet. Al riguardo, si richiama l’attenzione sulla scelta di un protocollo di rete che garantisca la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita i servizi delle predette piattaforme, consentendo inoltre agli utenti di verificare l’autenticità del sito web visualizzato.
I proprietari/gestori delle piattaforme dovranno, secondo il Garante, inoltre prevedere a titolo esemplificativo e non esaustivo le seguenti misure:
RUOLO DEL DPO E PARERE
Trattandosi di un tema afferente alla protezione dei dati personali, il data protection officer – DPO (responsabile della protezione dei dati) dello studio dentistico (o struttura odontoiatrica/poliambulatorio) deve essere coinvolto sin dalla fase di selezione di tali servizi, richiedendogli un parere al riguardo.
Nell’ipotesi in cui tale parere sia negativo, lo studio medico dovrà motivare la propria scelta divergente ricordando però che in caso di violazioni della normativa e successiva istruttoria da parte dell’autorità di controllo, sarà valutata l’ipotesi soggettiva più grave del dolo e non della colpa. Non da ultimo, il DPO potrebbe esprimere l’esigenza di svolgere una valutazione d’impatto privacy qualora ne ricorrano i presupposti di obbligatorietà ma potrebbe richiederla anche facoltativamente, in quanto utile strumento di accountability per documentare gli adempimenti svolti e le scelte adottate.
La digitalizzazione consente di avere sempre un maggiore supporto nelle attività quotidiane e attraverso le app è possibile la gestione dell’agenda dei professionisti, la prenotazione di visite specialistiche, l’archiviazione dei documenti sanitari, il pagamento delle prestazioni erogate al paziente.
Non vi sono opportunità senza rischi, in riferimento al profilo dei dati occorre sempre chiedersi: quali tipologie di dati sono trattati attraverso le app? Abbiamo letto e compreso i termini e le condizioni d’uso delle app? Abbiamo conservato una copia delle condizioni del servizio a nostra tutela? Qual è il ciclo di vita dei dati? Quando e come sono inseriti i dati sanitari? I dati sono cifrati? Dove sono i dati? Lo studio dentistico si è dotato di un sistema di gestione privacy? Ha definito ruoli e responsabilità? Ma soprattutto viene aggiornato e presidiato il sistema di gestione/modello organizzativo della privacy? Il GDPR non prevede divieti ma indica un percorso virtuoso per contemperare le esigenze di cura con il business e per condividere i dati in sicurezza.
