Mobile health e GDPR: la normativa spiegata bene

Condividi questa notizia:

La mobile health o m-health è quella branca dell’electronic health o e-health che comprende le information and communication technologies (ICT), i wearable device e altri strumenti di prevenzione, promozione, trattamento e mantenimento della salute.

Più in generale, la mobile health può essere definita come l’utilizzo informato di smart device e sensoristica medica al fine di migliorare la qualità della vita delle persone.

Indice dei contenuti

Applicazioni della mobile health

Le tecnologie emergenti in ambito m-health sono:

Gli health mobile device raccolgono dati clinici e monitorano i segnali vitali per fornire assistenza digitale personalizzata. Tuttavia, per poterlo fare devono rispettare le linee guida del GDPR. 

Mobile health e GDPR

Il Regolamento UE 2016/679, noto come General Data Protection Regulation (GDPR), definisce i requisiti che le app e i dispositivi mobili devono rispettare per poter trattare i dati personali rimanendo conformi alla normativa.

Consenso dell’utente

Gli artt. 7 e 9.2 lett. a) sanciscono che i produttori di dispositivi e gli sviluppatori di app m-health – in qualità di titolari del trattamento – devono ottenere il consenso libero, specifico, informato, inequivocabile ed esplicito dell’interessato per poter trattare i suoi dati personali.

Ciò deve avvenire prima dell’installazione dell’app per presa visione (e comprensione). Il titolare del trattamento, inoltre, dev’essere in grado di dimostrare che l’interessato (utente o paziente) abbia prestato il consenso al trattamento dei dati personali.

In base all’art. 7.3 del GDPR poi:

Limitazione delle finalità, minimizzazione dei dati e finalità secondarie

L’art. 5.1 lett. b stabilisce che i dati personali possono essere raccolti per determinate finalità, esplicite e legittime. Inoltre, il trattamento non deve durare più a lungo del necessario e trattare i dati soltanto strettamente necessari al funzionamento dell’app o del dispositivo mobile.

Tra le finalità rientra anche la ricerca di natura scientifica o storica, ritenuta compatibile con quelle originarie purché siano rispettate tutte le disposizioni a livello nazionale ed europeo. 

Privacy di default

Secondo l’art. 25.1 del GDPR il produttore del dispositivo e lo sviluppatore dell’app devono scegliere di default la soluzione meno invasiva per la privacy dell’utente o del paziente.

Il testo recita: «il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati» a partire dalla progettazione (design) fino alla realizzazione del dispositivo o dell’app.

L’obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Tali misure garantiscono, per “impostazione predefinita”, che non siano resi accessibili i dati personali a un numero indefinito di persone fisiche senza l’intervento del proprietario degli stessi.

Informazioni semplici e accessibili

Un altro importante punto del GDPR è l’art. 12, il quale sancisce che le informazioni del trattamento debbano essere fornite:

Inoltre, in base all’art. 13 del GDPR le informazioni sul trattamento dei dai personali devono obbligatoriamente contenere:

Conservazione e sicurezza

I dati personali non possono essere conservati più a lungo del necessario, salvo diverse disposizioni di legge. Il “Privacy Code of Conduct on Mobile Health APPs” della Commissione Europea raccomanda, infatti, che i titolari del trattamento definiscano i criteri di cancellazione dei dati personali e li comunichino agli utenti per tempo e in modo adeguato. Ciò va comunicato prima dell’installazione dell’app o dell’utilizzo del dispositivo e, comunque, prima della raccolta dei dati personali.

Pubblicità

Il fatto che nell’app appaiano annunci pubblicitari va preventivamente comunicato all’utente; tuttavia, se gli annunci pubblicitari vengono mostrati senza ricorrere al trattamento dei dati personali, il titolare del trattamento deve soltanto fornire all’utente e/o paziente la possibilità di rimuovere gli annunci.

Differentemente, se le pubblicità mostrate richiedono il trattamento dei dati personali dovrà essere richiesto prima dell’installazione il consenso dell’interessato/a mediante la clausola “opt-in” in modo specifico e separato.

Trasferimento dati all’estero

Gli utenti e/o pazienti devono essere informati circa il trasferimento dei loro dati personali all’estero in Paesi extra UE/SEE. In caso di trasferimento, i dati vanno protetti con adeguate misure (ad esempio clausole contrattuali standard e Binding Corporate Rules).

Violazione

A sensi dell’art. 33.1 del GDPR, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente (ad esempio il Garante della Privacy) entro 72 ore dal momento in cui ne è venuto a conoscenza.

Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dai motivi del ritardo. Inoltre, l’art. 34.1 afferma: «quando la violazione dei dati personali è suscettibile di presentare un elevato rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato».

Minori

Le app e i dispositivi di mobile health destinati ai minori devono, in base all’art. 2-quinquies del Codice Privacy, assicurarsi che il minore abbia già compiuto 14 anni per poter esprimere il proprio consenso al trattamento dei dati personali.

In caso contrario, il consenso è lecito se prestato da chi esercita la responsabilità genitoriale. Ad ogni modo, è necessario adottare un approccio più restrittivo nei confronti dei minori.

Gli obiettivi dell’OMS

Uno degli obiettivi dell’Organizzazione Mondiale della Sanità (OMS) è diffondere il più possibile le procedure, le app e i dispositivi della mobile health per raggiungere l’universal health coverage, ovvero la “copertura universale sanitaria”.

Mobilità, non soltanto digital transformation e dematerializzazione, è infatti la risposta alle esigenze di una cittadinanza più dinamica, tipica delle smart city.

Se la mobile health, nel rispetto del GDPR e in generale delle leggi, può aiutare davvero i cittadini a prenotare una visita medica, ricevere velocemente i risultati delle analisi al sangue e alle urine e, con strumenti un po’ più sofisticati come gli ECG portatili, monitorare il proprio stato di salute che ben venga.

La mobile health cambia la ricerca medica, espande il concetto di medicina e migliora la vita delle persone. Secondo i dati della Commissione Europea esistono ad oggi più di 100 mila app di mobile health.

Se anche tu sei interessato/a alla mobile health, partendo dalle sue potenzialità inespresse, contattaci. IPPOCRATE AS è un’azienda specializzata nell’acquisizione di fondi europei per la ricerca medica dal 2004, lavoriamo sia con l’Italia che l’estero.

Per maggiori informazioni chiamaci o scrivici compilando il contact form qui di seguito. Saremo felici di aiutarti a trovare la soluzione di mobile health più adatta alle tue esigenze.

Cerchi partner per progetti e-health? Lo hai trovato in IPPOCRATE AS!
Questo sito fa uso di cookie per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso.