le linee guida

App e portali per la sanità: i nodi privacy che il Garante non scioglie



Indirizzo copiato

L’evoluzione digitale della sanità ha portato alla proliferazione di piattaforme medico-paziente. In questa rapida trasformazione, le questioni legate alla privacy e alla protezione dei dati assumono un ruolo centrale. Il recente Compendio del Garante Privacy fornisce linee guida importanti, ma lascia aperti alcuni dubbi interpretativi riguardo alle finalità dei trattamenti e ai titolari dei trattamenti

Pubblicato il 4 apr 2024

Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli



Sinergia fra umanizzazione delle cure e tecnologia: le sfide da vincere in telemedicina

La settimana scorsa, il Garante Privacy ha pubblicato sul proprio sito il “Compendio sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto medici e pazienti attraverso web e app”: si tratta di un documento che fornisce indicazioni su come devono essere trattati i dati nei casi in cui il contatto tra medico (anche MMG) e paziente avviene attraverso una piattaforma o una app.

Le piattaforme medico-paziente: cosa offrono

Progetti nati per lo più duranti il Covid (e oggi cresciuti in maniera esponenziale) tali piattaforme offrono servizi diversi tra cui: prenotazione/cancellazione  (spesso permettendo all’utente di scegliere il professionista in base alla specializzazione e alla zona in cui opera il professionista), qualche volta la televisita (a seconda della tipologia di prestazione), nonché il pagamento delle prestazioni erogate.  Alcune piattaforme consentono di inviare e archiviare documenti sanitari, anche al fine di condividerli con il professionista sanitario prima di un appuntamento o durante il rapporto di cura instaurato con lo stesso e ulteriori servizi a beneficio degli utenti, quale quello di visualizzazione dello storico degli appuntamenti e di ricevere via email informazioni sulla salute pubblica e comunicazioni promozionali sui servizi offerti. 

Solo qualche esempio: Doctolib, Serenis, PagineMediche, Unobravo, Miodottore.it.

Compendio del Garante: i punti di attenzione

Si tratta in effetti di strumenti innovativi in sanità che possono trattare molti dati per finalità diverse: in questo senso il Compendio del Garante che analizza 10 punti di attenzione è veramente il benvenuto.

Più precisamente il documento analizza i seguenti profili: le finalità del trattamento, il coordinamento con la disciplina vigente sui principali strumenti di sanità digitale,  le basi giuridiche dei diversi trattamenti svolti dalle società che forniscono i richiamati servizi e dai professionisti sanitari, il divieto di diffusione dei dati e l’eventuale comunicazione di dati a terzi, la valutazione d’impatto, i ruoli privacy, conseguenti adempimenti e responsabilità, il principio di correttezza e trasparenza e le informazioni  da rendere agli interessati, i trattamenti effettuati al di fuori del territorio nazionale, il principio di Privacy by design, la sicurezza del trattamento.

I dubbi interpretativi sulle finalità dei trattamenti e i titolari dei trattamenti

Seppure il documento rappresenti un importante strumento di orientamento in questa nuova materia, ciò non toglie che,  a una attenta lettura, possano emergere alcuni dubbi interpretativi e applicativi in particolare in relazione alle finalità per i trattamenti indicate dal Garante e ai titolari dei trattamenti stessi.

In tutto il documento infatti si afferma che il titolare dei dati trattati per diagnosi e cura non può che essere il medico e che in questo caso la base giuridica sarà l’art 9 lett. h); al contrario il soggetto che gestisce la piattaforma potrà essere titolare dei dati trattati per la funzionalità della piattaforma o altre eventuali ulteriori finalità (quali il marketing): in questo caso la base giuridica dovrà essere il consenso dell’art. 9 lett. a), da esprimersi  separatamente per ogni finalità diversa (si veda punto 3 del Compendio).

Il modello organizzativo delle piattaforme sanitarie

Tale assunto è assolutamente corretto per le cosiddette “piattaforme di servizio”: quelle cioè in cui il medico paga la piattaforma per i servizi che la stessa offre,  e poi emette fattura direttamente al paziente; lato fiscale la prima transazione è poi soggetta ad IVA,  mentre la seconda è esente ex art. 10 DPR 633/’72.

Tale modello organizzativo delle piattaforme sanitarie non è, però, l’unico possibile.

Le piattaforme di gestione secondo il diritto sanitario

Sotto il profilo del diritto sanitario infatti sono del tutto legittime anche le cosiddette “piattaforme di gestione”, la cui architettura giuridica sotto i profili del diritto sanitario è del tutto diversa.

Il diritto sanitario infatti consente di “erogare sanità” (fatturando direttamente al paziente) non al medico, ma altresì al soggetto (anche persona giuridica) che sia titolare di apposita autorizzazione sanitaria (art. 193 RD 1965/1934 – TULLS., art. 8-ter del D.Lgs. 502/92 e relative leggi regionali che hanno disciplinato i requisiti e l’iter per il rilascio delle autorizzazione). Sulla base di tale architettura giuridica le società che gestiscono (da sempre) case di cura, laboratori di analisi, ambulatori ecc.. in qualità di titolari di apposita autorizzazione sanitaria, erogano la prestazione attraverso i propri medici/sanitari contrattualizzati, e fatturano direttamente al paziente.

Tale modello giuridico – disegnato per le strutture fisiche (cioè per il mondo reale) –  è stato oggi “traslato” nel mondo virtuale delle piattaforme: cioè le piattaforme sanitarie online che possono essere intese come “poliambulatori virtuali” nei quali puoi solo prendere appuntamento ma sempre più spesso puoi anche effettuare visite o consulti in telemedicina.

La fatturazione diretta al paziente e la detrazione fiscale

Tale “estensione al mondo virtuale” è stata accompagnata da una parallela “estensione giuridica”, che legittima il gestore della piattaforma a instaurare direttamente con il paziente il contratto di erogazione della prestazione sanitaria attraverso i propri sanitari, e a fatturare direttamente al paziente (esente IVA) ai sensi del D.P.R. n. 633/1972, con la conseguente possibilità per il paziente di detrarre la prestazione terapeutica eseguita “a distanza”.

Nello specifico, infatti, alcune Regioni ritengono che l’autorizzazione sanitaria in capo al soggetto che gestisce la struttura fisica (es il poliambulatorio) consenta automaticamente l’estensione online dell’attività, vale a dire la gestione della piattaforma sanitaria.

Altre regioni hanno emanato specifica disciplina per l’autorizzazione sanitaria delle piattaforme: è il caso della regione Emilia Romagna con la L.R. n. 22/2019 che, per prima, ha introdotto l’autorizzazione sanitaria anche per le sole sedi  di erogazione di prestazioni in telemedicina.

Chi è il titolare del trattamento dei dati nelle piattaforme di gestione

È palese dunque che, per il diritto sanitario, sono legittimi entrambi i modelli: non solo la piattaforma di servizi ma anche la piattaforma di gestione.

Ne consegue che, sotto il profilo GDPR, mentre nel primo caso il titolare del trattamento dei dati sarà senza dubbio il medico che intrattiene rapporto civilistico diretto con il paziente e che fattura direttamente la prestazione (come indicato nel compendio del garante), nel caso della piattaforma di gestione sarà la società che  gestisce la piattaforma il soggetto qualificabile come titolare del trattamento dei dati (e quindi dell’attività sanitaria autorizzata dagli Enti amministrativi).

Esattamente come avviene per le case di cura e per i poliambulatori, infatti, è il soggetto autorizzato a erogare sanità (attraverso i propri medici), a fatturare al paziente e a decidere quindi le finalità dei dati.

In questo senso appare del tutto applicabile anche al gestore della piattaforma l’art. 9 lett. h).

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2