APP mediche: quali controlli dovrebbe fare un DPO?

---

Negli ultimi anni abbiamo assistito alla diffusione di piattaforme web e APP volte a facilitare i rapporti dei cittadini con i professionisti sanitari (MMG e PLS) e a supportare la presa in carico dei pazienti con servizi di varia natura. Dato il rischio intrinseco a tali trattamenti, il Garante, di recente, ha fornito specifiche indicazioni per la conformità di queste “APP della salute”.

---

Le APP della salute. Cosa sono?

Le APP della salute, utilizzabili anche via web, sono strumenti digitali che hanno la funzione, in generale, di facilitare i rapporti dei pazienti o potenziali pazienti con i professionisti sanitari, ivi compresi i Medici di medicina generale (MMG) e i pediatri di libera scelta (PLS). Più nello specifico, tali strumenti consentono di usufruire di una serie di servizi utili a tutte le tipologie di utenti: sia ai cittadini che desiderino rapportarsi in modo semplice ed immediato con un professionista in ambito medico, che agli stessi specialisti della salute.

Fra questi servizi si citano, ad esempio:

• il supporto al potenziale paziente nella scelta del professionista, in base alla specializzazione e alla zona in cui opera;
• il supporto al potenziale paziente o al paziente nella prenotazione della visita con lo specialista;
• il supporto allo specialista nella gestione della propria agenda (prenotazione, cancellazione e spostamento degli appuntamenti), delle televisite, nel pagamento delle prestazioni erogate, etc.;
• la gestione dei documenti sanitari, attraverso l’archiviazione o l’invio e la condivisione degli stessi con il professionista sanitario prima di un appuntamento o durante il rapporto di cura;
• la visualizzazione dello storico degli appuntamenti;
• la ricezione via email di informazioni sulla salute pubblica;
• la ricezione via email di comunicazioni promozionali sui servizi offerti;

a cui si possono aggiungere ulteriori servizi a beneficio di tutte le categorie di utenti.

La cornice normativa

In via preliminare, è utile ricordare che le indicazioni pubblicate dal Garante si inseriscono in un contesto normativo particolarmente strutturato e complesso, sovente oggetto di riforme (si veda la recente riforma del FSE 2.0). Gli specifici trattamenti svolti dovranno, quindi, rispettare i limiti e gli ambiti di applicazione previsti a livello normativo per gli strumenti di sanità digitale. I DPO dovranno considerare quanto previsto dal nostro legislatore in materia di refertazione online e di prescrizioni elettroniche.

Al contempo, in fase di preliminare valutazione della conformità delle APP mediche, andranno valutate ed applicate le indicazioni fornite dal Garante attraverso gli svariati provvedimenti a carattere generale pubblicati nel corso del tempo. Pensiamo, ad esempio, alle Linee guida in tema di referti on-line e alle relative FAQ, nonché ai chiarimenti forniti in merito all’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

Il Compendio sulle “APP della salute”

A tali indicazioni si aggiunge, in ultimo, il “Compendio sul trattamento dei dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app” pubblicato nel mese di marzo 2024.

L’Autorità, attraverso il Compendio, ha deciso di chiarire alcuni aspetti essenziali per la conformità, in un ambito, quello della salute, caratterizzato dalla presenza di:

1. trattamenti effettuati spesso su larga scala,
2. dati particolari,
3. molteplici finalità diverse,
4. soggetti diversi che intervengono a vario titolo nelle operazioni di trattamento,
5. strumenti tecnicamente innovativi come le “APP della salute”.

Precedenti sanzioni

Proprio in relazione alle “APP della salute” vale la pena citare due delle principali ordinanze di ingiunzione comminate dall’Autorità Garante precedentemente alla pubblicazione del Compendio.

La sanzione più recente (febbraio 2024), di importo complessivo pari a 300 mila euro, è stata applicata a Medtronic Italia S.p.a., società che sviluppa dispositivi medici utili al monitoraggio e al trattamento di diverse patologie. Nel corso dell’istruttoria è emerso che la società, nel comunicare un aggiornamento dell’applicazione per la misurazione dei livelli di glucosio, aveva inserito gli indirizzi degli utenti in “copia per conoscenza” anziché in “copia nascosta”, consentendo a terzi non autorizzati di accedere a dati personali attinenti allo stato di salute. In aggiunta, l’informativa utilizzata non era completa, in quanto non specificava la base giuridica in virtù della quale veniva effettuata la comunicazione dei dati personali dei pazienti che intendevano collegare il proprio account personale con quello del medico specialista.

Un caso simile si era presentato anche nel corso del 2022: una società statunitense era stata sanzionata, per un importo pari a 45 mila euro, per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti diabetici italiani. L’Autorità, inoltre, aveva rilevato che gli utenti, scaricando la apposita APP erano tenuti ad accettare con un solo “clic” sia le condizioni contrattuali del servizio sia il contenuto dell’informativa privacy, rendendo così impossibile formulare specifici consensi per i diversi trattamenti dei dati, quale appunto quello per il trattamento dei dati sulla salute.

Le tre macro tipologie di trattamenti

Per prevenire violazioni della normativa, pertanto, è fondamentale comprendere le caratteristiche dell’APP ed i diversi trattamenti effettuati. All’interno del Compendio, il Garante individua tre macro tipologie di trattamenti:

1. il trattamento dei dati degli utenti che utilizzano le piattaforme per scegliere e prenotare una prestazione con un professionista sanitario;
2. il trattamento dei dati dei professionisti sanitari che utilizzano le piattaforme per entrare in contatto con potenziali pazienti;
3. il trattamento dei dati dei soggetti che, una volta venuti in contatto con il professionista sanitario, vengono presi in carico dallo stesso e quindi - nell’ambito del rapporto medico – paziente - utilizzano l’APP anche per la condivisione di documenti sanitari quali prescrizioni o referti.

Le categorie di trattamenti, così individuate, sono caratterizzate da distinte finalità e distinte basi giuridiche: il trattamento dei dati degli specialisti, ad esempio, può fondarsi sull’esecuzione di un contratto di servizi fra il gestore della piattaforma e lo stesso professionista, mentre il trattamento dei dati sulla salute andrà attentamente valutato, per comprendere quando e come acquisire il preventivo consenso informato degli utenti.

Fonti: 

• Il Compendio del Garante
• Le precedenti sanzioni
  • Ordinanza ingiunzione nei confronti di Senseonics Inc. - 7 luglio 2022
  • Provvedimento dell'8 febbraio 2024 (Medtronic Italia)