La settimana scorsa, il Garante Privacy ha pubblicato sul proprio sito il “Compendio sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto medici e pazienti attraverso web e app”: si tratta di un documento che fornisce indicazioni su come devono essere trattati i dati nei casi in cui il contatto tra medico (anche MMG) e paziente avviene attraverso una piattaforma o una app.
Le piattaforme medico-paziente: cosa offrono
Progetti nati per lo più duranti il Covid (e oggi cresciuti in maniera esponenziale) tali piattaforme offrono servizi diversi tra cui: prenotazione/cancellazione (spesso permettendo all’utente di scegliere il professionista in base alla specializzazione e alla zona in cui opera il professionista), qualche volta la televisita (a seconda della tipologia di prestazione), nonché il pagamento delle prestazioni erogate. Alcune piattaforme consentono di inviare e archiviare documenti sanitari, anche al fine di condividerli con il professionista sanitario prima di un appuntamento o durante il rapporto di cura instaurato con lo stesso e ulteriori servizi a beneficio degli utenti, quale quello di visualizzazione dello storico degli appuntamenti e di ricevere via email informazioni sulla salute pubblica e comunicazioni promozionali sui servizi offerti.
Solo qualche esempio: Doctolib, Serenis, PagineMediche, Unobravo, Miodottore.it.
Compendio del Garante: i punti di attenzione
Si tratta in effetti di strumenti innovativi in sanità che possono trattare molti dati per finalità diverse: in questo senso il Compendio del Garante che analizza 10 punti di attenzione è veramente il benvenuto.
Più precisamente il documento analizza i seguenti profili: le finalità del trattamento, il coordinamento con la disciplina vigente sui principali strumenti di sanità digitale, le basi giuridiche dei diversi trattamenti svolti dalle società che forniscono i richiamati servizi e dai professionisti sanitari, il divieto di diffusione dei dati e l’eventuale comunicazione di dati a terzi, la valutazione d’impatto, i ruoli privacy, conseguenti adempimenti e responsabilità, il principio di correttezza e trasparenza e le informazioni da rendere agli interessati, i trattamenti effettuati al di fuori del territorio nazionale, il principio di Privacy by design, la sicurezza del trattamento.
I dubbi interpretativi sulle finalità dei trattamenti e i titolari dei trattamenti
Seppure il documento rappresenti un importante strumento di orientamento in questa nuova materia, ciò non toglie che, a una attenta lettura, possano emergere alcuni dubbi interpretativi e applicativi in particolare in relazione alle finalità per i trattamenti indicate dal Garante e ai titolari dei trattamenti stessi.
In tutto il documento infatti si afferma che il titolare dei dati trattati per diagnosi e cura non può che essere il medico e che in questo caso la base giuridica sarà l’art 9 lett. h); al contrario il soggetto che gestisce la piattaforma potrà essere titolare dei dati trattati per la funzionalità della piattaforma o altre eventuali ulteriori finalità (quali il marketing): in questo caso la base giuridica dovrà essere il consenso dell’art. 9 lett. a), da esprimersi separatamente per ogni finalità diversa (si veda punto 3 del Compendio).
Il modello organizzativo delle piattaforme sanitarie
Tale assunto è assolutamente corretto per le cosiddette “piattaforme di servizio”: quelle cioè in cui il medico paga la piattaforma per i servizi che la stessa offre, e poi emette fattura direttamente al paziente; lato fiscale la prima transazione è poi soggetta ad IVA, mentre la seconda è esente ex art. 10 DPR 633/’72.
Tale modello organizzativo delle piattaforme sanitarie non è, però, l’unico possibile.
Le piattaforme di gestione secondo il diritto sanitario
Sotto il profilo del diritto sanitario infatti sono del tutto legittime anche le cosiddette “piattaforme di gestione”, la cui architettura giuridica sotto i profili del diritto sanitario è del tutto diversa.
Il diritto sanitario infatti consente di “erogare sanità” (fatturando direttamente al paziente) non al medico, ma altresì al soggetto (anche persona giuridica) che sia titolare di apposita autorizzazione sanitaria (art. 193 RD 1965/1934 – TULLS., art. 8-ter del D.Lgs. 502/92 e relative leggi regionali che hanno disciplinato i requisiti e l’iter per il rilascio delle autorizzazione). Sulla base di tale architettura giuridica le società che gestiscono (da sempre) case di cura, laboratori di analisi, ambulatori ecc.. in qualità di titolari di apposita autorizzazione sanitaria, erogano la prestazione attraverso i propri medici/sanitari contrattualizzati, e fatturano direttamente al paziente.
Tale modello giuridico – disegnato per le strutture fisiche (cioè per il mondo reale) – è stato oggi “traslato” nel mondo virtuale delle piattaforme: cioè le piattaforme sanitarie online che possono essere intese come “poliambulatori virtuali” nei quali puoi solo prendere appuntamento ma sempre più spesso puoi anche effettuare visite o consulti in telemedicina.
La fatturazione diretta al paziente e la detrazione fiscale
Tale “estensione al mondo virtuale” è stata accompagnata da una parallela “estensione giuridica”, che legittima il gestore della piattaforma a instaurare direttamente con il paziente il contratto di erogazione della prestazione sanitaria attraverso i propri sanitari, e a fatturare direttamente al paziente (esente IVA) ai sensi del D.P.R. n. 633/1972, con la conseguente possibilità per il paziente di detrarre la prestazione terapeutica eseguita “a distanza”.
Nello specifico, infatti, alcune Regioni ritengono che l’autorizzazione sanitaria in capo al soggetto che gestisce la struttura fisica (es il poliambulatorio) consenta automaticamente l’estensione online dell’attività, vale a dire la gestione della piattaforma sanitaria.
Altre regioni hanno emanato specifica disciplina per l’autorizzazione sanitaria delle piattaforme: è il caso della regione Emilia Romagna con la L.R. n. 22/2019 che, per prima, ha introdotto l’autorizzazione sanitaria anche per le sole sedi di erogazione di prestazioni in telemedicina.
Chi è il titolare del trattamento dei dati nelle piattaforme di gestione
È palese dunque che, per il diritto sanitario, sono legittimi entrambi i modelli: non solo la piattaforma di servizi ma anche la piattaforma di gestione.
Ne consegue che, sotto il profilo GDPR, mentre nel primo caso il titolare del trattamento dei dati sarà senza dubbio il medico che intrattiene rapporto civilistico diretto con il paziente e che fattura direttamente la prestazione (come indicato nel compendio del garante), nel caso della piattaforma di gestione sarà la società che gestisce la piattaforma il soggetto qualificabile come titolare del trattamento dei dati (e quindi dell’attività sanitaria autorizzata dagli Enti amministrativi).
Esattamente come avviene per le case di cura e per i poliambulatori, infatti, è il soggetto autorizzato a erogare sanità (attraverso i propri medici), a fatturare al paziente e a decidere quindi le finalità dei dati.
In questo senso appare del tutto applicabile anche al gestore della piattaforma l’art. 9 lett. h).
