Televisite e privacy: gli adempimenti per rispettare il GDPR

La necessità di una gestione da remoto del paziente, nel contesto di un’emergenza epidemiologica in cui limitare i contatti è essenziale, ma anche l’opportunità di offrire al paziente un tipo di prestazione sanitaria “smart” – che peraltro consente alla sanità un notevole risparmio di risorse – rivela il potenziale, sempre più concreto nel corso della pandemia da Covid-19 e proiettato anche al futuro, della telemedicina.

In particolare, la televisita, pur essendo un atto necessariamente sanitario in cui il medico interagisce a distanza con il paziente, implica l’esigenza di un approccio multidisciplinare che riguarda oltre ai tipici aspetti di diritto sanitario e di responsabilità professionale anche la gestione dei profili di sicurezza informatica e di protezione dei dati personali dei pazienti. 

Circa l’ultimo punto, il trattamento dei dati personali tramite gli applicativi che consentono la televisita, come ogni nuovo trattamento di dati che si decide di inserire all’interno della propria organizzazione, impone al titolare di compiere tre step preliminari

Progettazione del trattamento secondo una analisi di privacy by design e by default (art. 25 GDPR)

Per impostare un servizio di televisita che rispetti il Reg. UE 679/2016 (GDPR) è fondamentale seguire una apposita procedura di privacy by design e by default che preveda fin dall’inizio che:

  • non vengano raccolti e, in generale, trattati, più dati di quelli necessari a fornire la prestazione sanitaria a distanza;
  • venga osservato il principio di limitazione della conservazione dei dati e che il servizio di televisita venga fornito nel rispetto della policy di data retention della struttura sanitaria;
  • siano implementate misure tecniche e organizzative che evitino una perdita o una modifica illecita o accidentale delle informazioni trasmesse o un accesso non autorizzato alle stesse. Questo aspetto riguarda, ad esempio, sia la scelta dei una piattaforma GDPR compliant da utilizzare per la televisita (misura tecnica) – a valle di una verifica del fornitore tramite una fase di due diligence, svolta anche in forma sintetica, attraverso audit o apposite checklist – sia l’idonea predisposizione dei locali fisici (misure organizzative);
  • verificare se in base alla localizzazione dei server, l’utilizzo della piattaforma comporta un trasferimento di dati al di fuori dell’Unione Europea, di cui va garantita la legittimità ai sensi del Capo V del GDPR.

Analisi del rischio e valutazione di impatto

La progettazione del servizio di televisita tramite l’introduzione di una nuova tecnologia suggerisce, considerata la natura, l’oggetto, il contesto e le finalità del trattamento, di verificare se tale trattamento può presentare un rischio elevato per i pazienti. L’esito di una analisi del rischio condotta in questi termini può indicare la necessità di effettuare una valutazione di impatto (art. 35 del GDPR), volta a verificare l’efficacia delle misure adottate per ridurre il rischio, l’eventuale rischio residuo e sua accettabilità.

Aggiornamento del registro dei trattamenti

L’introduzione nell’organizzazione del ricorso alla televisita come metodo per fornire la prestazione sanitaria deve risultare anche dal registro dei trattamenti, che va integrato con l’indicazione del nuovo trattamento e delle relative informazioni indicate all’art. 30 del GDPR.

A partire dal registro revisionato, è, di seguito, possibile aggiornare la rimanente documentazione e provvedere agli adempimenti conseguenti, nello specifico:

  • nomina dei fornitori che trattano dati come responsabili esterni (art. 28 GDPR) mediante specifico atto scritto: si pensi ai gestori/manutentori della piattaforma utilizzata per la televisita;
  • autorizzazione al trattamento per i professionisti sanitari che sotto l’autorità della struttura sanitaria effettuano le televisite e relative istruzioni operative che riportino le best practice da seguire per trattare correttamente i dati dei pazienti (art. 29 GDPR);
  • formazione del personale autorizzato al trattamento (art. 29 GDPR): anche ove i dipendenti e i collaboratori della struttura sanitaria siano già stati sottoposti alla formazione obbligatoria in tema di data protection, è opportuno lo svolgimento di una sessione di formazione aggiuntiva che sia esplicativa delle singole istruzioni operative fornite per iscritto;
  • da ultimo, è necessario procedere all’aggiornamento dell’informativa ex art. 13 GDPR, mentre il consenso del paziente al trattamento dei suoi dati personali non è richiesto anche alla luce del provvedimento del Garante n. 55 del 7 marzo 2019, in quanto il trattamento è svolto con finalità di diagnosi, assistenza e terapia sanitaria ed eseguito tramite strumenti di telemedicina.
Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con focus

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?