g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Doctolib Srl - 10 novembre 2022 [9843319]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9843319]

Ordinanza ingiunzione nei confronti di Doctolib Srl - 10 novembre 2022

Registro dei provvedimenti
n. 368 del 10 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione

L’Autorità ha ricevuto una segnalazione relativa a possibili violazioni della disciplina in materia di protezione dei dati personali, riguardante i trattamenti effettuati dalla società Dottori.it Srl (di seguito “Dottori.it”)-oggetto, nel corso del procedimento, di operazioni societarie straordinarie, da ultimo, la fusione per incorporazione nella società Doctolib Srl, a far data dal xx (di seguito “Doctolib” o “Società”)- attraverso la piattaforma Dottori.it, i cui servizi sono accessibili sia attraverso il sito www.dottori.it, che l’applicazione “Dottori.it", disponibile per i sistemi operativi Apple e Android.

La piattaforma “Dottori.it” si pone l’obiettivo di mettere in contatto professionisti sanitari e pazienti “Il medico si iscrive alla piattaforma, e a fronte del pagamento di un canone, può pubblicare un profilo che definisce l’ambito delle proprie competenze e il territorio nel quale opera. Il potenziale paziente (…), dopo aver registrato le proprie generalità, la specializzazione di interesse (…), può fare accesso al data base dei medici disponibili, gli viene così proposta una agenda per gli appuntamenti [e] l’appuntamento viene poi inviato al medico tramite una mail”.

Con specifico riferimento alla registrazione dei medici alla predetta piattaforma, è prevista la sottoscrizione di una proposta di contratto, volto a disciplinare il rapporto tra Dottori.it e i medici.

Nel richiamato documento contrattuale, i medici (definiti come “Clienti”), “sono informati (…) che il Titolare del trattamento dei dati dei terzi che intendano avvalersi dell’opera professionale del Cliente è il Cliente medesimo, mentre Dottori.it svolgerà il ruolo di responsabile esterno del trattamento del Cliente (ex art. 28 G.D.P.R)” e che “I reciproci obblighi del Cliente, in qualità di titolare del trattamento, e di Dottori.it, in qualità di responsabile esterno del trattamento, (..) sono fissati nell’allegato “Atto di nomina di responsabile del trattamento e relativa regolamentazione contrattuale (…)”.

2. L’attività istruttoria e procedimentale

Con riferimento alla vicenda segnalata, l’Ufficio ha avviato un’istruttoria preliminare al fine di conoscere ogni utile elemento di valutazione al riguardo e in particolare la corretta individuazione dei ruoli di titolare e responsabile dei soggetti coinvolti nei trattamenti in esame, nonché il rispetto dei principi di liceità, correttezza e trasparenza (artt. 5, par. 1 lett. a), 6,7, 9, 24 e 28 del Regolamento).

Con la nota del XX, Dottori.it ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota del XX, prot. n. XX), rappresentando in particolare che:

- la piattaforma Dottori.it si pone “come intermediario per l’incontro tra domanda e offerta di servizi professionali da parte dei Professionisti nel rispetto delle norme deontologiche vigenti. In tale contesto Dottori.it funge da punto di contatto iniziale, e offre al Professionista uno strumento per migliorare e rendere più efficiente la propria organizzazione in termini di gestione delle prenotazioni online e dell’agenda. Nell'ottica della continua evoluzione, nel corso del XX sono state peraltro inserite nuove funzionalità anche per la gestione dei pagamenti online delle prestazioni e la relativa fatturazione”;

- “In data XX l’Intera partecipazione azionaria della Società è stata ceduta dalla precedente compagine societaria a Doctolib S.r.l.”;

- è in atto “un processo di consolidamento il cui completamento è previsto nel corso del primo trimestre del XX il quale comporterà la graduale dismissione della Piattaforma”.

Nello specifico, la Società con riferimento al trattamento dei dati dei professionisti sanitari ha dichiarato di qualificarsi come titolare del trattamento e che:

- tali dati personali (…) sono acquisiti previa sottoscrizione di un contratto ad hoc, formalizzato “offline”;

- a seguito della formalizzazione del contratto e dei servizi scelti dal medico “(…), viene attivato un account personale del Professionista per l’accesso alla propria area riservata del Sito (e dell’App), la fruizione dei servizi della Piattaforma a seconda del tipo di contatto sottoscritto, nonché per la gestione del relativo account”;

- “La base giuridica su cui si fonda detto trattamento è l'esecuzione di misure precontrattuali adottate su richiesta dell’interessato e del contratto di cui l'interessato è parte (art. 6, comma 1, lett. b) del regolamento EU 2016/679)”;

- “Limitatamente al trattamento dei dati correlati alla gestione del diario degli appuntamenti del Professionista, la Società agisce, invece, quale responsabile del trattamento per conto del Professionista sulla base del contratto di servizi (…) stipulato tra la Società e il Professionista (o il Centro medico) e del relativo atto di nomina di responsabile del trattamento che costituisce parte integrante del contratto”;

- “Tale attività comporta il trattamento delle seguenti informazioni: dettaglio delle prenotazioni e delle prestazioni erogate dal Professionista originate tramite la Piattaforma, nonché la visualizzazione sulla Piattaforma delle disponibilità di orario nell’agenda del Professionista”.

In relazione al “Trattamento dei dati degli interessati che effettuano la prenotazione di una prestazione sanitaria attraverso il Sito”, Dottori.it ha dichiarato che:

− “(…) si distinguono due macro-categorie di trattamenti: quelli funzionali alla gestione del rapporto contrattuale derivante dalla registrazione alla Piattaforma e del relativo account, e i trattamenti correlati alla prestazione medico-professionale”;

− “Una volta che l’utente del Sito (o dell’App) ha individuato il Professionista di suo interesse e il giorno e ora per fissare l’appuntamento (…), procede alla prenotazione della visita (…) utilizzando l’apposita funzionalità che gli viene presentata”, effettuando “il login, in caso di utenti già registrati alla Piattaforma” o procedendo “alla registrazione creando un account utente”;

− “Con la registrazione l’utente potrà accedere alle impostazioni del proprio account e vedere i propri dati del profilo nonché gestire le preferenze in materia di privacy”;

− “Per tali attività la Società raccoglie e tratta i seguenti dati personali del paziente: dati anagrafici (quali, nome, cognome), dati di contatto (quali e-mail, telefono), dati per la gestione dei pagamenti ove il paziente utilizzi il servizio di pagamento online e i dati per l’intestazione della fattura se richiesta al Professionista, nonché i dati che possono derivare da eventuali richieste di assistenza tecnica”;

− “In relazione a tali trattamenti, effettuati per l’instaurazione e gestione del contratto, la Società si qualifica come titolare del trattamento”;

− “La base giuridica su cui si fonda detto trattamento è l'esecuzione di un contratto di cui l'interessato è parte (art. 6, comma 1, lett. b) del regolamento EU 2016/679)”;

− “Per tutti i servizi strettamente correlati alla visita, alla prenotazione dell’appuntamento (comprensiva dell’invio delle notifiche per confermare l’appuntamento e per ricordare lo stesso in prossimità della data fissata), nonché per la messa a disposizione della piattaforma per la videochiamata in caso di televisita, la Società agisce in qualità di responsabile del trattamento per conto del singolo Professionista sulla base del contratto di servizi stipulato tra la Società (art. 12) e il Professionista (o il Centro medico) e del relativo atto di nomina di responsabile del trattamento che costituisce parte integrante del contratto”;

A tale riguardo, “la Società può trattare le seguenti categorie di dati personali: dettaglio delle prenotazioni, messaggistica tra paziente e Professionista relativa alla visita, dati ulteriori del paziente acquisiti dal Professionista (tra cui C.f. indirizzo, data di nascita), dati necessari per garantire il collegamento audio-video in caso di televisita, annotazioni sul paziente, scheda del paziente registrata dal Professionista nel proprio Diario appuntamenti, copia dei consensi rilasciati dal paziente al Professionista per la prestazione medico-sanitaria effettuata tramite la Piattaforma”.

Dottori.it ha inoltre dichiarato di non effettuare trattamenti di profilazione sui dati acquisiti attraverso la piattaforma e che, qualora “consentito dall’utente”, effettua trattamenti finalizzati all’invio di comunicazioni commerciali. A tale riguardo, il Professionista o paziente che ha rilasciato il proprio consenso, può in ogni momento revocarlo.

In relazione alle modalità con cui la predetta Società avrebbe assolto agli obblighi informativi e di acquisizione di eventuali consensi, sono stati trasmessi i seguenti documenti:

“Informativa sulla protezione dei dati personali”;

“Informativa privacy pazienti rilasciata ai Professionisti recante “l’INFORMATIVA PRIVACY ai sensi dell’art. 13 del Regolamento (UE) 2016/679 e normativa nazionale di adeguamento”;

“Modulo raccolta consenso pazienti raccolto da Professionisti recante “MODULO DI RACCOLTA DEL CONSENSO DEL PAZIENTE”.

Nello specifico, Dottori.it ha rappresentato che il paziente, in sede di registrazione al sito -necessaria per procedere alla prenotazione dell’appuntamento con il professionista selezionato- visualizza una sezione dal seguente contenuto “Abbiamo bisogno che tu prenda visione di alcune autorizzazioni sulla tua privacy e sull’utilizzo dei tuoi dati personali. Tali autorizzazioni verranno richieste una sola volta. Se ne hai bisogno in seguito potrai apportare delle modifiche, potrai gestire le richieste sulla privacy nell’area personale”. Sono poi previste delle successive sezioni, con un unico campo da selezionare, in cui il paziente esprime il consenso al “trattamento dei dati personali relativi alla mia salute, volto ad erogare i servizi medico sanitari da me richiesti – ivi compresa la prenotazione della mia visita, la registrazione della mia anagrafica e la prestazione nei miei confronti di servizi di telemedicina attraverso la piattaforma dottori.it.”.

In tale sede è altresì fornito un link all’informativa sul trattamento dei dati personali, cui seguono successive sezioni denominate “questo campo è richiesto”, in cui, in particolare, al paziente vengono richiesti i consensi al trattamento dei dati per scopi commerciali, propri di Dottori.it ovvero volti ad inviare da parte di Dottori.it comunicazioni commerciali di terze parti. La predetta società ha inoltre dichiarato che “L’informativa così resa e i consensi fin qui acquisiti, ove applicabili, dalla Società afferiscono ai trattamenti di cui la stessa è titolare (punti B.2, B.3.1 e B.4 [della nota di riscontro alla richiesta di informazioni del XX], ad eccezione di quanto precisato sul consenso ai trattamenti per finalità di telemedicina”.

Dottori.it ha altresì rappresentato che, con riferimento ai servizi medico-professionali resi disponibili tramite la Piattaforma, “(…) la Società mette a disposizione dei Professionisti un modello di informativa sul trattamento dei dati personali”. Tale informativa può essere fornita dal Professionista “al paziente in formato cartaceo al momento della visita presso lo studio professionale”. In tale caso “sarà poi cura del Professionista apporre apposito flag sulla scheda paziente presente sulla Piattaforma con cui si conferma di aver fornito al paziente l’informativa e si registrano i consensi dallo stesso rilasciati. Si tratta di una funzionalità a beneficio esclusivo del Professionista”. In caso di visite effettuate con la modalità della televisita “è stato implementato un processo per cui viene presentata al paziente l’informativa online e vengono registrati in tale sede i relativi consensi”.

Dottori.it ha infine evidenziato di avere “direttamente, o per il tramite dei propri fornitori di servizi, (…), implementato un sistema articolato di misure di sicurezza”.

Con specifico riferimento alla valutazione d’impatto Dottori.it ha dichiarato di aver “condotto, con il supporto di consulenti esterni all’uopo incaricati, una valutazione di impatto con riguardo al servizio di intermediazione per la prenotazione delle visite tramite la Piattaforma (gestione dei dati dei pazienti e medici). (…) Tale valutazione di impatto è stata effettuata inizialmente nel XX ed è stata più recentemente rivista nel corso del XX per valutare l’esigenza di eventuali aggiornamenti” anche alla luce degli ulteriori servizi offerti dalla piattaforma quali i servizi di pagamento e di fatturazione delle prestazioni rese attraverso la piattaforma.

Sulla base degli elementi acquisiti nell'ambito dell'istruttoria preliminare, l’Ufficio, con atto del XX (prot. n. XX), notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti di Dottori.it invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto l’Ufficio ha rilevato che Dottori.it ha effettuato un trattamento di dati personali, ivi inclusi quelli sulla salute, in violazione degli artt. 5, par. 1 lett. a), 6, 7 e 9,12 e 13 del Regolamento, in quanto, sebbene i ruoli di titolare e responsabile del trattamento di Dottori.it e dei professionisti sanitari sono stati individuati, ciò non è avvenuto nelle “informative” che sono state rese agli utenti/pazienti in occasione della loro registrazione alla piattaforma Dottori.it e del conseguente utilizzo dei servizi offerti. L’Ufficio ha infatti evidenziato che i suddetti ruoli non sono stati correttamente rappresentati con riferimento alle diverse operazioni di trattamento svolte attraverso la piattaforma e che tale assenza di chiarezza si è inevitabilmente riverberata sulla corretta individuazione della base giuridica dei trattamenti in esame e sul contenuto dell’informativa resa ai pazienti. 

3. Le memorie difensive

Con nota del XX, Doctolib, Società medio tempore incorporante Dottori.it, ha fatto pervenire le proprie memorie difensive, chiedendo altresì di essere audita, ai sensi dell’art. 166, comma 5 del Codice. In via preliminare e “Prima di procedere con l’esposizione delle argomentazioni difensive in merito ai fatti contestati” Doctolib ha evidenziato che “con atto di fusione per incorporazione stipulato in data XX, (…), iscritto al Registro delle Imprese di Milano in data XX, con decorrenza da tale data Dottori.it, destinataria del procedimento, ha cessato di essere un soggetto giuridico distinto dalla società incorporante Doctolib S.r.l., con sede legale in Corso G. Matteotti 1, Milano (“Doctolib” o “Società”)”.

Nel merito, con specifico riferimento alle contestazioni mosse dall’Ufficio nell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166 comma 5 del Codice, Doctolib ha evidenziato in particolare quanto segue.

3.1 Sull’individuazione dei ruoli privacy

In relazione a tale profilo Doctolib ha dichiarato che:

“il sistema costruito da Dottori.it in relazione al trattamento dei dati personali dei pazienti effettuato tramite la Piattaforma è stato da sempre contraddistinto da una precisa volontà di Dottori.it di mantenere il dualismo insito nel tipo di servizio: - titolare del trattamento, in relazione a quei soli trattamenti su cui la stessa è titolata a offrire prestazioni agli utenti finali, ovverosia la messa a disposizione di un canale di contatto con i professionisti sanitari (intermediazione) e conseguente gestione dell’account creato sulla Piattaforma da[i pazienti] (…). L’account risulta, infatti, necessario per garantire che l’uso della Piattaforma e dei servizi ivi offerti dai professionisti sanitari avvenga in piena sicurezza; - responsabile del trattamento per tutto quanto attiene ai servizi offerti dai professionisti sanitari tramite la Piattaforma (…)”;

“A suffragare tale netta distinzione di ruoli soccorre altresì la stessa impostazione della Piattaforma. La Piattaforma è stata costruita sin dalla sua origine in modo tale da assicurare che: - i dati personali del paziente, raccolti in una “scheda paziente” sono accessibili solo al professionista di riferimento e al personale dallo stesso eventualmente autorizzato mediante assegnazione di apposita utenza, attivata da Dottori.it su richiesta del professionista sanitario con l’apertura del relativo ticket. Analogamente i dati relativi alle prestazioni sanitarie prenotate, sono accessibili al solo paziente e medico di riferimento, restando esclusi trattamenti da parte di personale Dottori.it diversi da quanto necessario al fine di offrire il servizio tecnologico e l’attività di assistenza su richiesta dell’interessato o del professionista. Solo eccezionalmente, e nei limiti di quanto strettamente necessario per fornire il supporto o la manutenzione, gli amministratori di sistema possono accedervi seguendo una rigorosa procedura di sicurezza e con autenticazione forte”;

“i professionisti sanitari possono modificare liberamente e autonomamente la scheda paziente sul loro account, gestire le prenotazioni, ecc.. La scheda paziente, infatti, può essere compilata in maniera autonoma dal professionista senza che vi sia alcuna sincronizzazione con l’account dell’utente il quale rimane dunque del tutto separato”;

“nessun dato relativo alla prenotazione della prestazione sanitaria è utilizzato a fini diversi da quelli della gestione della prenotazione nella relazione paziente-professionista, né vengono dedotti o ricavati dati ulteriori da parte di Dottori.it” che su tali dati non svolge alcuna attività di profilazione dell’utenza;

“(…) la società Dottori.it S.r.l. aveva pertanto mantenuto, anche nelle successive formulazioni della propria informativa sul trattamento dei dati online (come quella, pubblicata nel XX (…) fornita alla Società dalla precedente proprietà di Dottori.it (…) la precisazione circa il fatto che Dottori.it agisse in qualità di responsabile del trattamento in relazione, ad esempio, ai servizi di prenotazione delle prestazioni sanitarie. In tale sede, infatti, Dottori.it esponeva in modo esplicito le circostanze in cui essa operava quale responsabile del trattamento in favore dei professionisti sanitari, tra cui si faceva esplicita menzione anche del trattamento derivante dal servizio di prenotazione delle prestazioni sanitarie”;

“Alla luce di quanto sopra emerge, piuttosto chiaramente, come ad una più attenta analisi della documentazione prodotta (…), le presunte incongruenze e contraddizioni circa la definizione dei ruoli privacy da parte di Dottori.it, oggetto di contestazione, non risultino corroborate”;

“Né sembra possibile derivare la contestata mancanza di trasparenza nei confronti dei pazienti dell’Informativa online da una presunta mancanza di linearità e chiarezza nella definizione dei ruoli, circostanza che, come sopra chiarito, è del tutto assente. Al contrario si ritiene che sia ampiamente dimostrato l’approccio responsabile e coerente di Dottori.it nella costruzione del modello privacy della Piattaforma in ottica di protezione dei dati personali”.

“Ciò posto, nell’ottica della definizione dell’elemento psicologico, si reputa utile riconoscere a Dottori.it l’originaria volontà di predisporre un testo di informativa ex artt. 13 e 14 del GDPR che fosse estremamente semplice nel rappresentare all’utente gli elementi essenziali del trattamento correlato alla fruizione dell’intero complesso di servizi accessibili tramite la Piattaforma. Alla luce delle vicende societarie occorse, la Società, subentrando in tempi molto recenti nella pregressa gestione di Dottori.it, prende atto che tale semplificazione potrebbe aver prodotto un effetto parzialmente diverso rispetto a quello auspicato e aver contratto lo sforzo di chiarezza descrittiva dei trattamenti di dati collegati all’uso della Piattaforma, in special modo al servizio di prenotazione delle prestazioni sanitarie, con ciò rendendo involontariamente la formulazione alquanto ampia e suscettibile di una lettura inidonea, ove non contestualizzata”;

“Queste considerazioni in merito all’Informativa online non sono, ad ogni buon conto, tali da pregiudicare le conclusioni sopra esposte in merito alla linearità, correttezza e coerenza dell’impostazione dei ruoli privacy posto in essere da Dottori.it, anche in considerazione del testo di informativa privacy disponibile online fino al XX, data di pubblicazione della Informativa online”.

3.2 Assenza di imputabilità della titolarità del trattamento in capo a Dottori.it relativamente al servizio di prenotazione delle prestazioni sanitarie offerto

A tale riguardo, Doctolib ha dichiarato che:

“Come già ampiamente esposto, è evidente che Dottori.it non potrebbe mai effettuare visite mediche o erogare altre prestazioni sanitarie che necessariamente possono essere offerte e prestate solo da operatori qualificati in tal senso”;

“il fatto che tali prestazioni siano menzionate nell’Informativa online resa da Dottori.it, che avrebbe potuto essere presentata in modo più chiaro se si vuole, non potrebbe, né dovrebbe, ad avviso della scrivente, risultare di per sé sola indice di una mancanza di chiarezza e di correttezza nella costruzione del servizio da parte di Dottori.it né della titolarità di detto trattamento in capo a Dottori.it”;

“Non risulterebbe dirimente circa la presunta mancanza di chiarezza dei ruoli privacy, e tantomeno la conseguente possibile attribuzione della titolarità del trattamento, il fatto che Dottori.it abbia predisposto degli standard contrattuali e uno standard di atto di designazione a responsabile del trattamento, ai fini di cui all’art. 28 del Regolamento, da accludere alle proprie condizioni generali di contratto” ciò in quanto la norma deve essere adattata “alla realtà concreta e agli innumerevoli modelli di business e di dinamiche relazionali  che le aziende adottano. (…)  lo stesso Comitato per la Protezione dei Dati Personali ha ritenuto perseguibile l’adozione di soluzioni organizzative che si basano su uno standard di atto di designazione predisposto dal responsabile del trattamento e presentato alla clientela perché lo valuti e lo faccia proprio, o lo negozi entro limiti ragionevoli. Tale approccio non risulta in contrasto con lo spirito della norma”;

“Il fatto, poi, che Dottori.it abbia predisposto un esempio di informativa da proporre ai professionisti sanitari (…) aveva, piuttosto, l’obiettivo di fungere da esempio (facoltativo) per agevolare i professionisti sanitari nell’assolvere ai loro obblighi informativi quali titolari del trattamento”;

“Peraltro, nella predetta informativa si chiarisce agli occhi del paziente il ruolo di Dottori.it come responsabile esterno del singolo professionista. Si tratta di un documento redatto nell’ottica di garantire la massima trasparenza ai singoli pazienti del professionista sanitario circa il ruolo svolto da Dottori.it nei loro confronti e in cui viene espressamente rappresentato il ruolo di Dottori.it quale responsabile del trattamento in relazione ad alcuni trattamenti di stretta titolarità del professionista sanitario, tra cui le prenotazioni delle visite”.

“Gli elementi sopra descritti attestano, del resto, l’attenzione e lo spirito di responsabilizzazione con cui Dottori.it ha inteso impostare i servizi della Piattaforma, prestando attenzione nell’offrire ai titolari del trattamento quella collaborazione e supporto necessari che lo spirito della norma richiede ai responsabili del trattamento”.

3.3 Sulle basi giuridiche del trattamento

Doctolib ha ribadito che:

In relazione “ai rilievi mossi in merito al primo consenso presente in fase di registrazione del paziente sulla Piattaforma (…) sembrano riconoscere correttamente che trattasi di consenso inserito a beneficio dei professionisti sanitari (non quindi a favore di Dottori.it), come sopra dimostrato. Tuttavia, con un sillogismo che non sembra del tutto evidente (non ritenendo sufficiente a tal fin l’erroneo rinvio all’Informativa online), si contesta a Dottori.it la non idoneità del consenso acquisito ai fini di un trattamento di cui la stessa di fatto non è titolare. Non è chiaro, perciò, se codesta Autorità abbia voluto derivare automaticamente un’attribuzione di titolarità del trattamento dei dati relativi allo stato di salute (peraltro estremamente ampio nella portata in quanto coprirebbe le principali finalità di trattamento dei professionisti sanitari che Dottori.it non sarebbe neppure autorizzata per legge ad esercitare) dall’erroneo rinvio all’Informativa online. Tale parrebbe però esserne la lettura data, tenuto conto che viene subito dopo eccepito a Dottori.it che “le manifestazioni di volontà richieste agli interessati non riguardano in modo autonomo e specifico i dati sulla salute, con la conseguenza che tali consensi non possono ritenersi validamente prestati alla luce degli artt. 6, 7 e 9 del Regolamento e delle richiamate Linee guida 5/2020 sul consenso”;

“il disegno della Piattaforma è stato ideato da Dottori.it ponendo una forte attenzione al fatto di escludere che dati relativi allo stato di salute possano essere acquisiti e trattati da Dottori.it tramite la Piattaforma per finalità autonome quale titolare del trattamento”;

“Infatti, i dati relativi agli appuntamenti acquisiti in fase di prenotazione e afferenti il tipo di prestazione sanitaria richiesta al professionista selezionato dall’interessato sono diligentemente trattati ad uso esclusivo per l’erogazione dei servizi di gestione dell’agenda e degli appuntamenti dei medici, e per le eventuali successive attività di telemedicina, nonché la registrazione e mantenimento della scheda paziente da parte del professionista. Dottori.it è sì parte del processo di trattamento di tali dati, anche indirettamente per il tramite di fornitori terzi che offrono i relativi servizi di hosting, o la gestione dell’applicazione, ma solo per conto del professionista a cui la prenotazione afferisce”;

“L’Informativa online della Piattaforma disponibile ai pazienti esclude espressamente il trattamento da parte di Dottori.it di tali dati in quanto la stessa si limita ad acquisire e trattare gli stessi, con le necessarie garanzie di protezione e crittografia, esclusivamente per conto dei professionisti sanitari: il dato relativo alla prestazione sanitaria richiesta, come ogni altra interazione con tali dati in ragione dell’eventuale registrazione di tali dati da parte del professionista sulla propria scheda paziente, avviene solo nel contesto dell’erogazione del servizio tecnologico da essi richiesto”;

“In nessun momento Dottori.it acquisisce o utilizza dati relativi allo stato di salute dei pazienti per finalità proprie e indipendenti dalla gestione dei servizi di cui il professionista si avvale”;

“Nel caso di specie, infatti, Dottori.it non effettua autonomamente alcun trattamento di dati relativi allo stato di salute dei pazienti fruitori della Piattaforma funzionale al servizio di prenotazione delle prestazioni sanitarie in quanto i dati, ivi inclusi quelli relativi allo stato di salute, correlati a dette prenotazioni e alle successive visite sono trattati da Dottori.it esclusivamente quale responsabile del trattamento del professionista sanitario”;

“La formula di consenso per il trattamento dei dati relativi allo stato di salute disponibile in fase di registrazione, (…) non è mai stata concepita da Dottori.it quale formula di consenso per legittimare un trattamento di dati del quale la stessa sarebbe stata autonomo titolare non sussistendone i presupposti come ampiamente esposto”;

“Peraltro, la formulazione dello stesso, pur migliorabile, fa espresso riferimento a trattamenti che sono, e possono essere propri solo di soggetti qualificati quali i professionisti sanitari: “Per il trattamento di Dati Personali relativi alla mia salute, volto ad erogare i servizi medico-sanitari da me richiesti – ivi compresa la prenotazione della mia visita, la registrazione della mia anagrafica e la prestazione nei miei confronti di servizi di telemedicina attraverso la piattaforma dottori.it”;

la circostanza che tale consenso è reso a beneficio del professionista, del resto, appare in modo piuttosto immediato nell’ambito del processo di prenotazione delle prestazioni sanitarie tramite l’utilizzo dell’App, dalla documentazione in atti infatti “si evince che l’interessato può prendere visione del consenso rilasciato a favore del singolo professionista tramite la dashboard di gestione dei consensi sul proprio account”;

“L’inserimento del suddetto consenso al momento della registrazione al Sito e all’App, e nella stessa schermata della raccolta dei consensi a favore delle separate e diverse attività di trattamento a scopi commerciali - questi sì di titolarità di Dottori.it – risulta in ogni caso ben distinto prevedendo una separata spunta”;

“Orbene, quand’anche si dovesse ritenere che tale modalità di attuazione non fosse stata del tutto lineare e potesse aver ingenerato confusione, occorre segnalare che detta modalità implementativa è stata attuata solo a decorrere dal XX, sostanzialmente in concomitanza con la digitalizzazione dei processi di teleconsulto (peraltro, ad ulteriore riprova della correlazione di tale consenso all’attività dei professionisti sanitari). L’eventuale pregiudizio per gli interessati che se ne volesse eventualmente desumere - ove esistente, e posto che si ritiene che quanto sopra rappresentato fornisca sufficienti chiarimenti in merito all’insussistenza di effettive condotte illecite al riguardo – sarebbe stata in ogni caso una condotta limitata temporalmente”;

“Tale scelta, peraltro, non risulterebbe sufficiente ad inferire un’attribuzione di titolarità del relativo trattamento in capo a Dottori.it in mancanza di una correlata concreta attività di trattamento di tali dati svolta da Dottori.it con modalità di piena autonomia: tale fattispecie non si realizza nel caso concreto e, secondo i principi di analisi fattuale che devono sottendere qualunque valutazione circa la sussistenza di una titolarità del trattamento o meno, non dovrebbe essere decisiva ai fini della qualificazione dei ruoli effettivi delle parti”;

"Tenuto conto della mancanza di rilevanza di tale profilo ai fini della definizione dei ruoli delle parti, possiamo solo ribadire che, sulla base delle ricostruzioni che ha potuto effettuare la Società, l’inserimento di quel link è stato dovuto ad un errore, considerato altresì che ciò è avvenuto nel mezzo della pandemia COVID-19. Riteniamo pertanto che tale aspetto non debba essere interpretato come atto volontario di Dottori.it di qualificarsi come titolare del trattamento. Vale altresì la pena di sottolineare che da tale comportamento Dottori.it non ha ottenuto alcun vantaggio: il che prova ulteriormente la totale buona fede dell’operato della stessa Dottori.it.”.

3.4. Sull’informativa agli interessati e sui diritti degli interessati

In relazione all’informazioni da rendere agli interessati, Doctolib ha dichiarato che:

“I rapporti con gli utenti venivano (…) disciplinati dall’Informativa online, così come riformulata ad inizio XX, a seguito dell’introduzione dei servizi di fatturazione elettronica, teleconsulto e pagamenti online al fine di dare evidenza di tali nuovi trattamenti”;

“Fino al XX, infatti, l’informativa disponibile online era quella pubblicata nel settembre XX. Tale precedente informativa forniva chiarimenti più puntuali in merito ai trattamenti per i quali Dottori.it agiva in veste di titolare del trattamento e i trattamenti per i quali invece agiva in qualità di responsabile del singolo professionista sanitario”;

“Vero è che nell’elaborazione della nuova informativa, (…), sono stati espunti i riferimenti al diverso riparto dei ruoli svolti da Dottori.it, ma pur sempre la circostanza che Dottori.it assumesse anche la veste di responsabile del trattamento veniva espressa nell’informativa (un cui esempio era fornito per praticità da Dottori.it, si rinvia al punto C.2) prodotta dal professionista sanitario in qualità di titolare.

Nell’esempio di informativa messa a disposizione da Dottori.it al professionista veniva infatti più volte ribadito il ruolo di Dottori.it quale responsabile esterno del professionista sanitario”;

“nella denegata ipotesi in cui le argomentazioni esposte nella presente memoria non fossero accolte da codesta Autorità, l’asserita confusione circa i ruoli di responsabile e di titolare si sarebbe in ogni caso protratta solo per un periodo limitato di tempo, ovvero a decorrere dai drammatici mesi del XX e non anche nei momenti precedenti”;

“in tale lasso di tempo alcuna segnalazione specifica al caso di specie è pervenuta né all’email del DPO né all’email relativa alle questioni relative ai dati personali, ma neppure dal XX al XX alcun utente ha mai lamentato carenza di trasparenza nei documenti predisposti da Dottori.it.”;

“si chiarisce che la formula di consenso al trattamento dei dati particolari (relativi allo stato di salute) inserita in fase di registrazione dell’account non è stata concepita in riferimento ad alcun trattamento di tali dati da parte di Dottori.it per le ragioni esposte”;

“Il trattamento dei dati particolari per cui si chiede il consenso è quello di pertinenza del professionista per le relative prestazioni erogate avvalendosi della Piattaforma quale titolare del trattamento, e di cui Dottori.it era mero responsabile del trattamento. (…) la raccolta di detto consenso fosse a solo beneficio del professionista sanitario”;

In relazione ai tempi di conservazione la Società ha chiarito che l’informativa on line reca l’indicazione di un criterio generale di conservazione dei dati pari a “10 anni dalla data dell’ultimo accesso al sito o App Dottori.it” salve alcune deroghe in caso di revoca del consenso prestato per i trattamenti svolti per scopi commerciali e di 2 anni “dalla richiesta di cancellazione dei dati, in caso di richiami o contestazioni circa l’uso della Piattaforma in modo fraudolenti”;

Doctolib ha inoltre ribadito l’imminente dismissione della piattaforma Dottori.it, pianificata per l’estate XX, che comporterà la cessazione dei servizi offerti “con conseguente possibilità per i professionisti sanitari di scaricare, o comunque ottenere la restituzione dei dati personali di cui sono titolari, prima della loro definitiva cancellazione”. La fusione societaria e le attività di dismissione in continua evoluzione e progressione, “testimoniano la massima attenzione che la Società sta dedicando al raggiungimento dell’obiettivo di addivenire il prima possibile alla piena cessazione dei trattamenti oggetto del procedimento e all’instaurazione di nuovi rapporti con gli interessati, tramite la diversa piattaforma di Doctolib, improntati alla piena trasparenza e liceità con la Società con il conseguente superamento delle circostanze a cui afferisce”. La Società ha altresì chiarito che “la dismissione della Piattaforma non comporta alcuna automatica migrazione degli account dei pazienti alla piattaforma Doctolib, in quanto qualunque fruizione di servizi da parte dei pazienti che desiderano usare la piattaforma Doctolib presuppone una registrazione iniziale dell’utente direttamente sulla piattaforma Doctolib, senza vincoli di alcun genere”.

Doctolib, alla luce di quanto sopra esposto, ha chiesto, in via preliminare, l’archiviazione del procedimento, senza l’applicazione di alcuna sanzione e in subordine l’adozione di un provvedimento meramente correttivo ovvero in caso di adozione di un provvedimento sanzionatorio, di voler applicare tutte le circostanze attenuanti del caso.

4. L’audizione

In data XX, si è svolta l’audizione nel corso della quale Doctolib -nel riservarsi di produrre ulteriore documentazione- ad integrazione di quanto già in atti ha in particolare dichiarato che:

“Nell’acquisizione di Dottori.it da parte di Doctolib, avvenuta nel mese di settembre scorso, la Società ha avviato un processo volto ad adeguare gli standard di sicurezza di Dottori.it a quelli di Doctolib. La richiesta di informazioni dell’Ufficio del Garante è pervenuta proprio in concomitanza dell’acquisto di Dottori.it da parte della Società, ciò ha portato ad una accelerazione del predetto processo di adeguamento”;

“i dati raccolti sono utilizzati dalla Società esclusivamente per fornire, in qualità di responsabile del trattamento dei professionisti sanitari, agli utenti i servizi di prenotazione delle prestazioni sanitarie e che i dati sono trattati da soggetti autorizzati al trattamento (amministratori di sistema). Si precisa che tutte le attività di trattamento poste in essere dalla Società inerenti la prenotazione delle prestazioni sanitarie, ivi inclusa la visualizzazione dell’elenco delle prenotazioni effettuate attraverso la Piattaforma, sono svolte da Dottori.it in qualità di responsabile del trattamento dei professionisti sanitari”;

“negli ultimi anni sono pervenute solo un esiguo numero (meno di 10) di richieste di personalizzazione del modello di nomina a responsabile del trattamento della Società da parte dei singoli professionisti, che sono state sempre accolte; tali richieste non hanno riguardato elementi sostanziali del trattamento, ma piuttosto elementi formali. La Società cerca sempre di venire incontro alle richieste dei titolari”;

“Nel caso di esercizio dei diritti e in particolare in caso di richiesta di cancellazione dalla piattaforma è necessario che l’utente eserciti tale diritto sia nei confronti della Società che del medico. In particolare, in relazione allo storico delle prestazioni è necessario che l’utente eserciti i diritti di cui al Regolamento direttamente nei confronti del medico, che provvede a soddisfare la richiesta. L’unico diritto esercitabile nei confronti della Società è quello relativo alla cancellazione dell’account dalla Piattaforma”;

Doctolib ha inoltre rappresentato che “il programma di dismissione della piattaforma a seguito della acquisizione e incorporazione di Dottori.it da parte della Società dovrebbe concludersi entro l’estate”.

5. La documentazione integrativa

Con nota del XX, Doctolib ha prodotto documentazione integrativa in particolare un video precedentemente proiettato nel corso dell’audizione che si compone “di quattro brevi parti e simula, per maggior praticità, l’esperienza di un utente già registrato sulla Piattaforma, in modo da visualizzare anche l’esperienza correlata alla visualizzazione di alcune informazioni per garantire trasparenza sul rapporto con il singolo professionista”. In particolare esso “contribuisce ad offrire una visione più chiara sul fatto che, per come è intesa la Piattaforma, gli unici titolari del servizio di prenotazione rimangono i professionisti che hanno piena autonomia nella gestione delle prenotazioni stesse, senza automatismi vincolanti di sorta, e che il consenso raccolto per il trattamento dei dati sanitari in fase di registrazione di un nuovo utente/paziente che prenota una visita, o di una visita presso un professionista con cui non è mai stata effettuata alcuna prenotazione, è funzionale esclusivamente alla prestazione del professionista, e raccolto per conto di quest’ultimo, essendo ad esso univocamente associato. Dottori.it agisce solo come responsabile del trattamento dei dati in questo senso”.

Doctolib ha altresì trasmesso la documentazione presentata nel corso dell’audizione in ordine al piano di dismissione della piattaforma “ormai giunto alle sue fasi finali, con la definitiva cessazione stimata entro e non oltre XX”. Tale dismissione infatti “rappresenta contestualmente un passaggio chiave per indirizzare in modo definitivo anche la cessazione di quegli elementi di contestazione che sono stati mossi da Codesta Autorità”.

La predetta Società ha inoltre illustrato il piano di comunicazione dell’imminente dismissione della Piattaforma destinato sia ai pazienti che ai professionisti sanitari e chiarito, tra le altre cose, che “gli account dei pazienti non saranno oggetto di trasferimento sulla piattaforma Doctolib” essi “saranno informati con largo anticipo della dismissione della piattaforma e potranno esercitare i loro diritti in relazione ai dati dei loro account. A tal riguardo la Società ha avviato un articolato piano informativo per tutta l’utenza, inclusi gli utenti/pazienti registrati sulla Piattaforma, per renderli edotti della prossima cessazione della Piattaforma e dei relativi tempi di dismissione” fermo restando che “possono poi decidere di iscriversi sulla piattaforma Doctolib, qualora entrino in contatto con i professionisti che utilizzano la piattaforma Doctolib, fermo restando che resteranno liberi di utilizzare qualsiasi altro canale per prenotare i propri servizi sanitari con gli operatori sanitari di Doctolib”.

Doctolib ha da ultimo dichiarato che “a seguito dell’avvenuta fusione per incorporazione, la Società ha prontamente modificato i riferimenti societari presenti sul sito e nella documentazione legale dello stesso (e della Piattaforma), ivi incluso il riferimento al titolare del trattamento nell’informativa privacy presente sul sito”.

6. L’esito dell’attività istruttoria: le violazioni accertate

6.1. Quadro giuridico di riferimento.

L’attività istruttoria e il procedimento avviato dall’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, hanno riguardato il trattamento dei dati personali effettuato dalla società Dottori.it Srl, fusa per incorporazione in Doctolib Srl, a far data dal XX, attraverso la piattaforma Dottori.it accessibile sia dal sito www.dottori.it che dall’omonima applicazione “Dottori.it”. Tale piattaforma si pone l’obiettivo di mettere in contatto i pazienti e i professionisti sanitari per consentire ai primi di prenotare le prestazioni sanitarie prescelte. L’istruttoria ha riguardato in particolare l’individuazione in concreto del ruolo svolto, in termini di titolare o responsabile, dai soggetti coinvolti nelle predette operazioni di trattamento.

Il Regolamento pone particolare attenzione all’attribuzione dei ruoli di titolare (artt. 4, n. 7 e 24) e di responsabile (art. 4, n. 8 e 28) del trattamento, ponendosi in linea di continuità con quanto già stabilito dalla Direttiva 95/46/CE.

Il titolare è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, determina le decisioni di fondo relative a finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità di cui agli artt. 6 e 9 del Regolamento (cfr “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato Europeo per la protezione dei dati, il 7 luglio 2021).

La figura del responsabile rimane invece connotata dallo svolgimento di operazioni di trattamento di dati personali delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse in termini di conoscenze specialistiche, di affidabilità e di risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. il considerando 81 del Regolamento), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

In particolare, i diversi ruoli dei soggetti che intervengono nelle operazioni di trattamento devono essere correttamente rappresentati agli interessati in quanto ciò si riflette non solo nella individuazione delle corrette basi giuridiche del trattamento e sull’imputazione delle rispettive responsabilità, ma anche sugli obblighi di trasparenza che sono alla base della autodeterminazione informativa degli interessati ciò anche ai fini dell’esercizio dei diritti che il Regolamento riconosce agli interessati (artt. da 15 a 22).

Ai sensi del Regolamento, si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Con specifico riferimento alle particolari categorie di dati, tra cui rientrano i dati sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento di tali dati a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali sono previsti tra gli altri il consenso dell’interessato ovvero i trattamenti svolti dai professionisti sanitari per finalità di cura (artt. 9, par. 2, lett. a) e h) del Regolamento e cfr. provv.to di “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, del 7 marzo 2019, doc. web n. 9091942).

I dati personali devono inoltre essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento) fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi. Tale principio impone che le informazioni e le comunicazioni relative al trattamento dei dati personali siano rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cons. 39, 58 e art. 12 del Regolamento).

L’obbligo di fornire agli interessati le informazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni in maniera efficace e succinta al fine di evitare un subissamento informativo. Esse dovrebbero essere “concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui né lasciare spazio a interpretazioni multiple” (cfr. punti 8 e 12, delle Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate dal Gruppo Articolo 29, il 29 novembre 2017, versione emendata adottata l’11 aprile 2018 e paragrafo e paragrafo 3.7). In ossequio al principio di trasparenza devono quindi risultare chiare, prima che il trattamento abbia inizio, sia le finalità che le corrispondenti basi giuridiche del trattamento.

6.2. Il principio di correttezza e trasparenza e le informazioni da rendere agli interessati (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento)

In via preliminare, si rappresenta che il presente provvedimento ha ad oggetto il trattamento dei dati personali effettuato da Dottori.it Srl e a far data dal XX da Doctolib Srl attraverso la piattaforma Dottori.it, in quanto tale trattamento è proseguito in capo alla Società incorporante anche successivamente alla fusione per incorporazione.

Con specifico riferimento al caso di specie, occorre osservare che l’attività di messa in contatto dei professionisti sanitari con i pazienti effettuata da società attraverso piattaforme informatiche e app, come quella in esame, presuppone il coinvolgimento di diversi soggetti, i cui rapporti, dal punto vista della protezione dei dati personali, possono essere regolati con diverse modalità. Nel rispetto del principio di responsabilizzazione, i soggetti a vario titolo coinvolti, devono definire con chiarezza i ruoli assunti nel trattamento “alla luce delle circostanze concretamente relative al rapporto tra le parti”, ovvero in relazione “alle attività concretamente svolte da tale soggetto in un contesto specifico” (cfr. citate “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”).

Da ciò discende che non sussiste una sola ripartizione dei ruoli privacy corretta che può essere sempre seguita nel regolare i rapporti nell’ambito dei servizi volti a mettere in contatto il paziente con i professionisti sanitari, bensì che tale regolazione deve rispecchiare le modalità con cui, da un punto di vista sostanziale, le operazioni di trattamento sono concretamente  poste in essere, con una valutazione che necessita di essere svolta caso per caso, evitando di attribuire “formalmente il ruolo di titolare del trattamento a un soggetto che di fatto non è in grado di «determinare» le finalità e i mezzi del trattamento” (cfr. citate “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”).

A tale riguardo, preso atto di quanto rappresentato dalle predette Società nella documentazione in atti e nelle memorie difensive, in relazione ai trattamenti in esame si osserva quanto segue.

L’attività di trattamento posta in essere attraverso la piattaforma Dottori.it richiama quella della fornitura del servizio di call center da parte di un soggetto esterno al titolare del trattamento, che comporta il trattamento dei dati personali anche sulla salute raccolti in occasione dell’offerta del servizio di prenotazione di prestazioni sanitarie su cui l’Autorità è intervenuta più volte (cfr. da ultimo, provvedimento del 14.1.2021, doc. web n. 9542136).

Nel caso di specie infatti le predette Società, secondo quanto dichiarato in atti, hanno agito in qualità di responsabili del trattamento dei professionisti sanitari cui intende rivolgersi l’interessato con riferimento “ai servizi di prenotazione delle prestazioni sanitarie”.

Tale scelta relativa all’attribuzione dei ruoli privacy, attesa la pluralità dei professionisti a cui l’interessato può decidere di rivolgersi tramite i servizi offerti dalla piattaforma Dottori.it, implica che la raccolta dei dati personali, anche relativi alla salute degli interessati, sia effettuata dalle Società, in qualità di responsabili del trattamento, ancor prima che il professionista sanitario (titolare del trattamento) venga a conoscenza della scelta operata dall’interessato.

In virtù dei principi di correttezza e trasparenza, l’interessato, all’atto della prenotazione, avrebbe quindi dovuto essere correttamente informato dalle Società, per conto del professionista sanitario scelto, circa i trattamenti effettuati da quest’ultimo, tra i quali figura anche la raccolta -in fase di prenotazione della prestazione sanitaria richiesta dallo stesso- dei dati personali sulla salute da parte delle Società, in qualità di responsabili del trattamento.

Tuttavia, nell’informativa presente sul sito e riproposta agli utenti in fase di registrazione, le predette Società hanno dichiarato di trattare i dati dei pazienti in qualità di titolari del trattamento, oltre che per la finalità di creazione dell’account personale del paziente, anche per quella volta a “fornire ai pazienti che utilizzano il Sito e l’App il servizio di prenotazione visite mediche o altre prestazioni sanitarie, comprensivo dell’invio di mail e sms di notifica” (cfr. all. 4 alla nota del XX). Tale informazione fornita attraverso la richiamata piattaforma agli interessati appare quindi in contraddizione con le scelte effettuate dai titolari in merito all’attribuzione dei ruoli privacy documentate in atti, secondo cui per la finalità di prenotazione delle prestazioni sanitarie Dottori.it/Doctolib non opera come autonomo titolare del trattamento, bensì come responsabile del professionista sanitario (titolare del trattamento).
Tali Società avrebbero dovuto in primo luogo fornire agli interessati che si registravano alla piattaforma una chiara informativa sui trattamenti dalle stesse effettuati in qualità di titolari del trattamento. Sotto altro profilo, avrebbero dovuto fornire allo stesso interessato, in qualità di responsabili del trattamento del professionista sanitario scelto dal paziente, le informazioni relative all’attività di raccolta dei dati anche sulla salute dalle stesse svolte, per la prenotazione della prestazione sanitaria.

Come già rilevato dall’Ufficio nell’avvio del procedimento istruttorio, seppure i ruoli possano considerarsi individuati, Dottori.it/Doctolib, all’atto della prenotazione della prestazione sanitaria da parte dell’interessato, non ha fornito a quest’ultimo informazioni chiare sui diversi trattamenti svolti sia in qualità di titolare che nel ruolo di responsabile dei professionisti sanitari a cui l’interessato poteva rivolgersi, non garantendo quindi un trattamento corretto e trasparente (artt. 5, par. 1, lett. a), 12,  e 13 del Regolamento).

L’erronea indicazione nell’informativa all’interessato del ruolo di Dottori.it/Doctolib quale titolare e non di responsabile del trattamento, con riferimento ai servizi di prenotazione, ha comportato anche una erronea informazione all’interessato sulla tipologia di dati trattati dalle Società che nell’informativa dichiarano che “Il Titolare non tratta dati cd particolari (dati relativi allo stato di salute) degli Utenti” (cfr. all. 4 della nota di riscontro alla richiesta di informazioni di questa Autorità del XX).

Pertanto, Dottori.it/Doctolib, oltre a non aver correttamente rappresentato i ruoli, non ha chiaramente indicato di trattare dati sulla salute solo nelle attività che svolge in qualità di responsabile del trattamento per conto dei professionisti sanitari.

All’interessato, pertanto, sono state fornite informazioni non corrette e incongruenti, in quanto da un lato è stato affermato che Dottori.it/Doctolib nella fase della prenotazione è titolare del trattamento (sebbene sia invece stata designata responsabile) e dall’altro che le stesse Società non trattano dati sulla salute benché anche la semplice prenotazione di una visita medica specialistica possa rivelare dati sulla salute, come, ad esempio, in caso di visite oncologiche o per la cura della fertilità prenotabili attraverso la piattaforma resa disponibile dalla Società.

Doctolib del resto, nelle memorie difensive riconosce nella documentazione in atti che le informazioni rese agli interessati sono migliorabili e che fino a XX era presente sul sito un’informativa (disponibile on line da XX) che “forniva chiarimenti più puntuali in merito ai trattamenti per i quali Dottori.it agiva in veste di titolare del trattamento e i trattamenti per i quali invece agiva in qualità di responsabile del singolo professionista sanitario”.

Un ulteriore elemento di criticità con riferimento al rispetto dei principi di correttezza e trasparenza ha riguardato l’indicazione nell’informativa resa agli interessati della base giuridica del trattamento. Infatti, Dottori.it/Doctolib, oltre che a qualificarsi erroneamente come autonomo titolare per le attività di prenotazione, ha anche richiesto per le stesse il consenso dell’interessato prestato sulla base dell’informativa resa in qualità di titolare del trattamento e non invece sulla base dell’informativa relativa ai trattamenti effettuati da parte del professionista sanitario.

Ciò si evince, in particolare, nelle sezioni relative ai consensi richiesti ai pazienti in occasione della loro registrazione alla piattaforma e della prenotazione della visita con il professionista sanitario prescelto (cfr. slide 19 del documento “schermate di sistema”, all. 3 alla nota di riscontro del XX). Al riguardo, si rappresenta infatti che tali consensi non si riferiscono ai trattamenti effettuati da Dottori.it/Doctolib in qualità di titolare o di responsabile, bensì a quelli finalizzati “ad erogare i servizi medico sanitari” richiesti dall’interessato.

In ogni caso, si rappresenta che tali manifestazioni di volontà non sono precedute da una idonea e completa informativa essendo riportato il link all’informativa di Dottori.it/Doctolib, fornita in qualità di titolare per trattamenti diversi da quelli relativi ai servizi sanitari (quale quello di creazione account). Tali elementi rendono evidente che quanto sostenuto relativamente al fatto che Dottori.it/Doctolib si limiterebbe ad acquisire e trattare i dati dei pazienti esclusivamente per conto dei professionisti sanitari, non è stato correttamente indicato agli interessati ai quali nella predetta informativa e nel form di registrazione alla piattaforma non era resa nota la titolarità dei trattamenti effettuati per finalità di prenotazione e di cura da parte dei professionisti sanitari cui si rivolgevano, con ciò inducendo gli interessati a imputare tali trattamenti nel loro complesso in capo a Dottori.it/Doctolib.

Nelle informazioni rese disponibili all’interessato non è infatti rappresentato che il consenso al trattamento dei dati sulla salute richiesto all’interessato prima di completare il processo di registrazione, si riferisce ad una manifestazione di volontà prestata nei confronti del professionista sanitario.

In ogni caso, tale previsione risulta comunque erronea sia da un punto di vista sostanziale che formale. In primo luogo, il Garante ha più volte chiarito che per le attività di diagnosi e cura effettuate da un professionista sanitario soggetto al segreto professionale non è necessario acquisire il consenso dell’interessato applicandosi la fattispecie di cui all’art. 9, par. 2, lett. h) del Regolamento. A ciò si aggiunga che anche per i trattamenti effettuati da Dottori.it/Doctolib come autonomo titolare (ai soli fini di creazione dell’account), non essendo trattati dati sulla salute, non è necessario acquisire il consenso dell’interessato ai sensi dell’art. 6, par. 1, lett. b) del Regolamento.

Da un punto di vista formale pertanto la richiesta di consenso risulta in contrasto con i principi di correttezza e trasparenza, in quanto tale manifestazione di volontà non è richiesta sia per i trattamenti effettuati da Dottori.it/Doctolib come titolare che per quelli posti in essere come responsabile.

Tutto ciò premesso, risulta accertato che la predetta informativa viola, per i profili sopra illustrati, i richiamati principi di correttezza e trasparenza. L’informativa non risulta idonea, infatti, con riguardo alla trasparente e corretta individuazione dei diversi ruoli di titolare e responsabile di Dottori.it/Doctolib e dei correlati trattamenti svolti, andando ad inficiare la corretta individuazione delle basi giuridiche e delle finalità del trattamento e integrando una violazione dei principi di correttezza e trasparenza e degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.

7. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese da Dottori.it/Doctolib, in qualità di titolare nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare integralmente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato da Doctolib Srl in violazione degli articoli 5, par. 1 lett. a), 12 e 13 del Regolamento, nei termini sopra illustrati. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.
In tale quadro, Doctolib ha dichiarato che a seguito della fusione per incorporazione di Dottori.it Srl in Doctolib Srl;

la App non è più attiva a partire dal XX;

“la definitiva cessazione [della piattaforma è] stimata entro e non oltre XX”;

“i professionisti sanitari sono stati avvisati in più occasioni del fatto che la Piattaforma sarebbe stata dismessa e che non sarebbe stato possibile per i pazienti prenotare visite tramite la Piattaforma per date successive al XX”.

A tale riguardo, si evidenzia che il sito www.dottori.it non risulta più raggiungibile, è infatti previsto un automatico reindirizzamento al sito www.doctolib.it. Tali elementi consentono di ritenere che la condotta ha esaurito i suoi effetti e che pertanto non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

In relazione ai trattamenti dei dati personali effettuati da Doctolib attraverso l’omonima piattaforma, accessibile dal sito www.doctolib.it e dalla apposita App, l’Autorità ha avviato una specifica e autonoma istruttoria, tuttora in corso, al fine di verificare la conformità dei trattamenti al quadro normativo in materia di protezione dei dati personali.

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1 lett. a), 12 e 13 del Regolamento, causata dalla condotta posta in essere dalla Società è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 e, del Regolamento in relazione ai quali si osserva che:

1. il trattamento effettuato ha riguardato informazioni idonee a rilevare lo stato di salute di oltre 630.000 interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

2. sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, in particolare infatti “l’impostazione della informativa era stata generata con l’esatto intento di rendere una visibilità più ampia possibile agli interessati (utenti Semplici/pazienti) dei trattamenti comunque correlati all’utilizzo della Piattaforma, con l’apprezzabile intento di fornire ai professionisti sanitari, titolari del trattamento, la massima collaborazione possibile nell’assolvimento dei loro oneri informativi”, (art. 83, par. 2, lett. b) del Regolamento);

3. non risultano, precedenti violazioni pertinenti commesse da Dottori.it Srl e da Doctolib Srl né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

4. la Società ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

5. non sono pervenuti reclami, ai sensi dell’art. 77 del Regolamento, al Garante sull’accaduto;

6. a seguito della acquisizione di Dottori.it la Società è intervenuta per interrompere definitivamente qualunque nuova iscrizione dei professionisti sanitari, necessario presupposto iniziale per la definitiva cessazione del servizio;

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di € 40.000,00 (quarantamila) per la violazione degli artt. 5, par. 1, lett. a), 12, 13 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla società Dottori.it Srl e dalla società Doctolib Srl, quale società incorporante Dottori.it Srl, a far data dal XX, per la violazione degli dell’artt. 5, par. 1 lett. a), 12 e 13, del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società Doctolib Srl, con sede legale in Corso Giacomo Matteotti 1 – 20121 Milano –Partita IVA e Codice Fiscale: 11537360965, in qualità di società incorporante la società Dottori.it Srl con sede legale in Milano, Via Marco d’Aviano, 2, CF 08145180967 di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata. 

INGIUNGE

Alla società Doctolib Srl di pagare la somma di euro 40.000,00 (quarantamila) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei