Garante privacy: Compendio sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app.

ll decalogo del Garante privacy sul trattamento dei dati personali effettuato attraverso piattaforme elettroniche web e mobile volte a mettere in contatto i pazienti con i professionisti sanitari presenta in alcune sue parti aspetti di notevole interesse pratico: (1) la ricostruzione pratica dei rapporti data protection tra i vari soggetti (gestori/proprietari delle piattaforme; medici fruitori dei servizi di piattaforma e pazienti); (2) l’indicazione di specifici contenuti informativi obbligatori aggiuntivi rispetto ai normali contenuti dell’Informativa (es: informazioni su algoritmi AI per stilare l’ordine di comparsa di medici consigliati; criteri per i giudizi dei pazienti sui medici, etc); (3) l’indicazione di un elenco specifico di misure di sicurezza che i gestori della piattaforma devono adottare (es: verifica dei titoli professionali via OTO e PEC; autenticazione a più fattori; misure per evitare omonimia/omocodia; automatismi per la verifica di accessi abusivi; etc); (4) il richiamo alle limitazioni nell’uso dei “real world data – RWD” a scopi ulteriori di profilazione, secondo le conclusioni del fondamentale provvedimento che l’Autorità ha adottato il 1° giugno 2023; (5) la necessità richiamata di coordinare i trattamenti su tali piattaforme con riferimento alla normativa su referti on line (il dpcm del 2013) e le prescrizioni elettroniche anche ai fini dell’individuazione delle misure tecniche e organizzative più idonee a ridurre gli specifici rischi del trattamento. Il provvedimento è ricco di richiami ad altri provvedimenti utili per i trattamenti di settore. Curioso che tra questi l’Autorità non abbiam richiamato il recente provvedimento 593/2023 (“Linee Guida Funzioni Crittografiche Conservazione delle Password”) e che sui flussi transfrontalieri connessi alla fornitura di piattaforme dall’estero abbia fatto riferimento quasi esclusivo a gestori UE, facendo un rapido riferimento di stile al Capo V del GDPR per i fornitori extra UE.