privacy e sanità digitale

Cookie e web beacon in ambito sanitario: normativa applicabile e casi concreti

Home Sanità digitale
Indirizzo copiato

App e siti internet dedicati alla salute e al benessere comportano la disponibilità, per i titolari dei trattamenti relativi, di un sempre maggior volume e varietà di dati che, nelle dovute condizioni, può consentire un’importante profilazione del cliente. Ecco le regole da seguire per cookies, web beacon e profilazione in sanità

Pubblicato il 25 giu 2024
Rebecca Rigon

avvocato, consulente legale in ambito privacy con particolare riferimento all'ambito sanitario

Cookies, web beacon e profilazione in sanità

La sempre maggiore diffusione di strumenti di salute digitale, anche tramite app e siti internet dedicati alla salute e al benessere, comporta la disponibilità, per i titolari dei trattamenti relativi, di un sempre maggior volume e varietà di dati che, nelle dovute condizioni, può consentire un’importante profilazione del cliente.

Per governare queste attività è tutelare i diritti e le libertà degli interessati diverse Autorità per la protezione dei dati personali europee sono intervenute sia con campagne informative e linee guida sia con provvedimenti verso casi specifici.

Ecco cos’è emerso nel webinar degli Osservatori Digital Innovation dal titolo “Cookies, web beacon e profilazione in ambito sanitario”.

Le basi giuridiche del trattamento dei dati: i casi in sanità

Lo scenario italiano

Il Garante italiano ha recentemente rilasciato un compendio dedicato alle piattaforme accessibili via web e app destinate a mettere in contatto i pazienti con i professionisti sanitari,
strumenti diffusamente utilizzati dai pazienti per prenotare visite mediche o richiedere prestazioni sanitarie presso professionisti sanitari che possono essere anche collegati al Sistema Sanitario Nazionale perché medici di medicina generale (MMG) o pediatri di libera scelta (PLS).
I dati raccolti dalla piattaforma per fornire il servizio richiesto dal paziente nel rapporto con il medico possono essere diretti anche a finalità di promozione ed in tal caso, il Garante ha esplicitato che il paziente dovrà essere debitamente avvisato dalla piattaforma della sussistenza di tali trattamenti ulteriori e diversi rispetto a quelli relativo alle finalità cura.

In tali casi, il paziente deve essere informato se i dati potranno essere riutilizzati da terzi e per quali scopi. Al riguardo, il Garante ha richiamato anche il paragrafo 3.7 del parere n. 2/2013, sulle applicazioni per dispositivi intelligenti adottato il 27 febbraio 2013.

Inoltre, con riferimento all’utilizzo dei cookie o altri strumenti di tracciamento non necessari alla fornitura del servizio il documento evidenzia la necessità di sottoporre l’utilizzo al consenso espresso ed informato dell’utente, come rilevato nelle Linee guida Cookie e altri strumenti di tracciamento del 10 giugno 2021, doc. web n. 9677876.

Il caso trattato dell’Autorità di protezione dati francese (CNIL)

Il sito dovrà pertanto essere dotato di privacy policy e di cookie policy come osserviamo nel caso trattato dall’Autorità di protezione dati francese (CNIL) nei confronti del sito di promozione di salute e benessere doctissimo.fr.
A seguito di relativa istruttoria sulle attività svolte dal titolare per il tramite del predetto sito, la CNIL ha verificato, nell’ambito di due sessioni di navigazione differenti, la violazione della disciplina ePrivacy quanto alla raccolta del consenso in relazione all’utilizzo dei cookie sul sito della titolare atteso che nel momento di accesso al sito della titolare risultavano depositati, senza la preventiva raccolta del consenso, due cookie sul terminale utilizzato per la verifica uno dei quali, denominato “af-session” risultava funzionale alla diffusione di pubblicità mirata.
Anche in ambito sanitario, infatti, si applica la direttiva e-Privacy per la gestione dei cookie e degli strumenti di tracciamento (che nel nostro ordinamento è inserita nel Codice Privacy, cfr., art. 122), con la conseguenza che è necessaria la previa la raccolta del consenso dell’utente per l’archiviazione di informazioni nel dispositivo dello stesso nonché per l’accesso alle informazioni già archiviate.

Cookies, web beacon e profilazione in sanità

Come noto, in caso di cookie o strumenti di tracciamento “tecnici” ossia funzionali unicamente a rendere possibile l’erogazione dei servizi richiesti dall’utente non è necessaria la raccolta del consenso dell’utente.

Diverso è il caso dei cookie cosiddetti “analitici” che possono essere esclusi dalla regola del consenso a seconda delle modalità di implementazione degli stessi. In particolare, non è richiesto il consenso ove siano rispettate le seguenti condizioni:

  • vengono utilizzati unicamente per produrre statistiche aggregate e in relazione ad un singolo sito o una sola applicazione mobile;
  • viene mascherata, per quelli di terze parti, almeno la quarta componente dell’indirizzo IP;
  • le terze parti si astengono dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi.

Per rendere note e chiare ai titolari le normative applicabili in caso di cookie ed altri strumenti di tracciamento, il Garante italiano ha emesso le sopra citate linee guida che costituiscono un importante strumento per la conformità dei trattamenti e a cui il Garante continua a fare riferimento confermandone l’attualità e normatività.

Dati sanitari: nelle misure del Garante il punto di equilibrio tra privacy e ricerca

La conformità dei trattamenti

Per garantire la conformità dei trattamenti, il titolare deve fare attenzione anche alle modalità con cui rende disponibile all’utente la scelta circa gli strumenti di tracciamento ossia i cosiddetti banner, avendo cura che il testo contenga:

  • l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità;
  • il link all’informativa cookie contenente l’informativa completa;
  • l’avvertenza che la chiusura del banner (per esempio, mediante selezione dell’apposito comando contraddistinto dalla “X” posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.

Su questo punto, è utile precisare che se sono implementati solo cookie tecnici, non serve il banner cookie perché l’informazione può essere collocata nell’home page del sito (per esempio, direttamente nel footer del sito) o anche solo nell’informativa generale.

Sui tempi di richiesta del consenso all’utente rispetto alle eventuali navigazioni successive alla bprima, si sottolinea che in presenza di una precedente mancata prestazione del consenso non è possibile, in via generale, reiterare la richiesta.

È invece possibile reiterare la richiesta di consenso solo in alcuni specifici casi:

  • se mutano significativamente le condizioni del trattamento (quindi il banner assolve ad una finalità informativa in merito alle modifiche);
  • se è impossibile, per il sito, sapere se un cookie sia stato già memorizzato nel dispositivo (es. nel caso in cui l’utente cancelli i cookie dal dispositivo);
  • se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

Il caso dei banner

In tema di banner, l’EDBP ha rilasciato un report, nel 2023, sulle attività di verifica effettuate su un rilevante numero di casi, evidenziando le pratiche che sono ritenute generalmente scorrette
individuate sinteticamente in:

  • assenza del tasto “rifiuta tutti”;
  • presenza di caselle di scelta pre-selezionate;
  • link dedicato alle scelte dell’utente posto ad un secondo livello di visibilità;
  • presenza di tasti di scelta con colori ingannevoli;
  • colori ingannevoli tra tasti di scelta e sfondo del sito;
  • utilizzo della base giuridica del legittimo interesse;
  • individuazione imprecisa dei cookie cosiddetti essenziali;
  • assenza del tasto “revoca tutto”.

L’applicazione della normativa ai web beacon

Le medesime regole debbono intendersi applicate alle ipotesi di web becon ossia, generalmente, alle tecnologie utilizzate per tracciare il visitatore del sito e seguire le attività che svolge sullo stesso.

Si può raggiungere un tale risultato con diverse tecniche come, ad esempio, inserire una piccola immagine (così piccola da essere praticamente invisibile) di dimensioni 1×1 o addirittura 0x0 pixel in una pagina web o in un’app o inserire una piccola stringa di codice (JavaScript) in una pagina web o in un’applicazione.

Tali strumenti presentano maggiori rischi per l’utente interessato in quanto il tracker non risulta visibile all’utilizzatore e traccia il percorso di navigazione e il tempo trascorso in ogni fase del percorso sul sito o sull’app.

Conclusioni

Tornando al provvedimento dell’Autorità francese, la CNIL, nel caso del sito doctissimo.fr, ha accertato la violazione, da parte del titolare, della direttiva ePrivacy in ragione della presenza nel sito di cookie finalizzati alla pubblicità mirata in assenza della raccolta del relativo e preventivo consenso dell’utente.

Sul punto, l’Autorità ha altresì evidenziato che, ai fini di esenzione da responsabilità della titolare, risulta del tutto irrilevante un eventuale inadempimento del terzo fornitore del sistema di gestione dei cookie, in quanto il titolare rimane onerato della verifica dei propri fornitori e della conformità degli stessi alla normativa applicabile in materia di tutela dei dati
personali.

L’attenzione è molto elevata da parte delle Autorità Garanti quando si tratta di dati relativi all’ambito sanitario o generalmente collegato al benessere, anche per la natura particolare dei dati trattati e per i maggiori rischi per i diritti e le libertà degli interessati. Dunque è opportuno che i titolari che operano in tali ambiti svolgano accurate verifiche in fase di progettazione ed implementazione dei siti web e/o delle applicazioni per dispositivi mobili.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

R
Rebecca Rigon
avvocato, consulente legale in ambito privacy con particolare riferimento all'ambito sanitario
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • infrastrutture

    Sicurezza nell’industria mobile: lo standard NESAS

    25 Gen 2024

    di Flavio Canofari

    Condividi

  • lo scenario

    Le norme digitali da tenere sott'occhio nel 2024

    15 Apr 2024

    di Aurelia Losavio

    Condividi

Prossimo

Sicurezza nell’industria mobile: lo standard NESAS

Articolo 1 di 3