I Patient Support Program, essi – ad oggi – non sono regolamentati da alcuna specifica normativa. Tuttavia, la disciplina sulla protezione dei dati personali è trasversale e raggiunge tutti i trattamenti di dati personali, compresi, ovviamente, quelli effettuati mediante i PSP.
Questo articolo si pone l’obiettivo di mettere in luce gli aspetti che, per la particolare natura dei PSP, devono essere attentamente analizzati al fine di un pieno rispetto della normativa sulla protezione dei dati personali.
Ruoli privacy
Innanzitutto, è fondamentale (ma non sempre agevole) determinare i “ruoli privacy” dei soggetti coinvolti dal PSP. Ciò significa individuare i Titolari del trattamento, gli eventuali Contitolari, i Responsabili del trattamento e gli Autorizzati al trattamento, nonché eventuali destinatari terzi.
Come già visto in precedenza, i soggetti coinvolti sono: le ASL (o AO), l’azienda pharma o medical device, il provider (ossia il soggetto terzo che eroga il servizio) e il paziente.
Eccetto il paziente, che è fuor di ogni dubbio l’interessato del trattamento, tutti gli altri soggetti sopra elencati non possono essere classificati a priori. Infatti, i PSP possono essere articolati in modo sostanzialmente differente tra loro. Nel caso in cui, per esempio, il provider si limiti a fornire un dispositivo medico o un software, lo stesso assumerà la veste del Responsabile del trattamento. Diversamente, qualora il provider dovesse organizzare anche servizi di assistenza domiciliare che presuppongono l’intervento di un professionista abilitato (es. infermiere), lo schema dei ruoli muterebbe.
Non solo, infatti, in base all’implementazione del progetto di supporto al paziente, la natura dei dati raccolti o trattati dai diversi soggetti coinvolti può ampiamente differire. Infatti, alcuni soggetti potrebbero accedere a dati del tutto anonimi e, dunque, non ricoprire alcun ruolo privacy.
Infine, è fondamentale tenere a mente che la disciplina sulla protezione dei dati personali ha pacificamente stampo sostanziale, ciò significa che occorre sempre indagare caso per caso al fine di individuare i ruoli privacy che più aderiscono all’effettivo trattamento dei dati personali effettuato.
Base giuridica
Un altro aspetto fondamentale riguarda l’individuazione della base giuridica per il trattamento dei dati personali, ossia l’individuazione della condizione che legittima il trattamento.
Anche in questo caso, l’analisi non è banale.
Prendendo le mosse dalla finalità principale del PSP, ovvero l’assistenza/il supporto al paziente, verrebbe da chiedersi se questa non sia, di fatto, riconducibile alla finalità di cura (ovvero diagnosi, assistenza o terapia sanitaria) e se quindi non si possa trattare il dato sanitario anche senza il consenso dell’interessato, come avviene nel caso di una normale prestazione sanitaria ospedaliera.
Tuttavia, il Garante ha escluso la suddetta ipotesi attraverso il provvedimento del 7 marzo 2019, n. 55, con il quale ha espressamente chiarito come solo quel trattamento di dati che sia “necessario” al perseguimento delle finalità di cura – con ciò riferendosi esclusivamente alla prestazione sanitaria “in senso stretto”- possa essere effettuato senza il consenso dell’interessato e, pertanto, ricondotto alla base giuridica di cui all’art. 9, par. 2, lett. h), GDPR: “i trattamenti di cui all’art. 9, par. 2, lett. h) sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).”
Diversamente, per i trattamenti che non possono definirsi “necessari alla cura” (e dunque per quelli relativi ad attività diverse dalla prestazione sanitaria “in senso stretto”, sebbene a quest’ultima collegate) il Garante ha precisato che richiedono: “una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento)”.
Il trattamento di dati personali svolto nell’ambito del Patient Support Program rientra proprio in quest’ultimo caso, poiché esso è effettuato per eseguire un servizio che per natura sostituisce la prestazione sanitaria ospedaliera e la cui fruizione è lasciata alla libera scelta del paziente.
Utilizzo di tecnologie avanzate
Un’altra caratteristica di rilievo dei PSP è l’utilizzo di tecnologie avanzate (App, Piattaforme, IoT).
A tal riguardo entrano in gioco una serie di valutazioni e adempimenti che il Titolare deve compiere.
Innanzitutto, laddove l’utilizzo della tecnologia implichi una raccolta su larga scala di dati sanitari dovrà senza dubbio effettuarsi una Valutazione di impatto (ex art. 32 del GDPR), grazie alla quale il Titolare, in piena osservanza del principio di accountability, potrà valutare l’opportunità del trattamento (e soprattutto eventuali “correttivi” da porre in essere).
Inoltre, l’utilizzo di tecnologie (soprattutto se particolarmente innovative) richiede l’adozione di una serie di misure tecniche tali da garantire la sicurezza dei dati sanitari raccolti presso i pazienti.
Infine, oltre alle misure tecniche, risultano fondamentali le misure organizzative. Nel caso specifico dei PSP, esse consistono nelle misure che il Titolare deve adottare al fine di fornire corrette istruzioni – sia ai pazienti, sia al personale abilitato eventualmente coinvolto – per l’utilizzo corretto degli applicativi utilizzati nell’ambito dei PSP.