La Customer Satisfaction consente alle strutture sanitarie di ottenere feedback sulle prestazioni erogate, identificando eventuali problemi e/o disservizi da correggere, al fine di preservare nel tempo la qualità dei servizi offerti.
L’Autorità Garante , il 5 maggio 2011, ha emanato le linee guida in tema di trattamento di dati per lo svolgimento di indagini di Customer Satisfaction.
Analizziamole in dettaglio e vediamo come reinterpretarle alla luce dei principi e degli obblighi imposti dal GDPR.
Indice degli argomenti
Misurare il gradimento della prestazione sanitaria
Come indicato dalle linee guida, vi sono diverse modalità per valutare il gradimento della prestazione sanitaria. Ad esempio:
- monitoraggio strutturato di segnalazioni
- reclami, osservazioni o suggerimenti degli utenti
- interviste, focus group, indagini di customer satisfaction
- altri tipi di indagini ad hoc.
Tali strumenti consentono di misurare la qualità dei servizi percepita dagli utenti attraverso la raccolta di informazioni che riguardano le condizioni generali di degenza, i servizi e le prestazioni sanitarie [1].
In quali casi si ricade nell’applicazione del GDPR?
La realizzazione dell’indagine, se effettuata mediante somministrazione di un questionario, può avvenire mediante un’intervista personale o telefonica nonché per posta, anche elettronica, oppure rendendo disponibile online un form sul sito web della struttura sanitaria.
In nessun caso, tali questionari devono avere ad oggetto aspetti clinici correlati alle cure mediche [2].
Riguardo alla scelta della tipologia di questionari, è possibile predisporre indagini di gradimento che comportano il trattamento di dati anonimi oppure questionari che prevedono il trattamento di dati personali. L’utilizzo della prima tipologia di questionario presuppone che gli scopi del sondaggio possano essere perseguiti senza trattare informazioni riconducibili direttamente o indirettamente agli utenti (ad esempio, attraverso utilizzo di un questionario che garantisca l’anonimato). Qualora si decida di utilizzare tale tipologia di indagine, il trattamento delle informazioni raccolte non ricade nell’applicazione del GDPR e delle linee guide dell’Autorità Garante.
In altre ipotesi, la raccolta di informazioni che identificano gli utenti può risultare essenziale per la buona riuscita del sondaggio, in quanto tali aspetti possono influire sulla percezione dei servizi e delle prestazioni fruiti. Ciò si verifica qualora il questionario contenga domande aperte oppure spazi in cui poter inserire osservazioni o suggerimenti all’interno dei quali l’interessato potrebbe riportare informazioni che agevolano facilmente la sua identificazione. In tali casi, si rientra nel campo dell’applicazione del GDPR.
Quali sono i dati che è possibile trattare
Riguardo alla tipologia di dati utilizzabili, le linee guida precisano che la misurazione della qualità dei servizi sanitari non deve avere ad oggetto né informazioni sanitarie relative alle prestazioni di cura erogate e/o fruite dagli utenti, in quanto attengono strettamente al rapporto paziente-medico curante, né dati riguardanti la sfera sessuale degli interessati.
È possibile, invece, trattare sia fattori qualitativi del servizio prestato (quali, ad esempio, gli aspetti relativi ai tempi del servizio e alle informazioni ricevute in ordine al trattamento sanitario erogato) sia informazioni che, indirettamente, sono rivelatrici dello stato di salute degli interessati (quali, ad esempio, la denominazione del reparto che ha erogato il servizio, la tipologia della prestazione fruita – ad esempio, ricovero o intervento chirurgico – o la specialità medica cui afferiscono tali prestazioni).
Trattamento dei dati personali: le differenze tra strutture sanitarie pubbliche o accreditate al SSN e strutture private
La liceità del trattamento dei dati personali si fonda su presupposti giuridici diversi a seconda che tale attività venga svolta da strutture sanitarie pubbliche o accreditate al SSN e private.
L’esecuzione della Customer Satisfaction da parte delle strutture sanitarie pubbliche o accreditate al SSN avviene per l’esecuzione di un compito di interesse pubblico – di cui è investito il Titolare del trattamento (art. 6.1, lett. e del GDPR) – connesso all’adozione di meccanismi e strumenti di monitoraggio e valutazione dei costi, dei rendimenti e dei risultati dell’attività svolta dalle amministrazioni sanitarie [3].
Con riguardo alle categorie particolari di dati, il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto nazionale (art. 9.2, lett. g del GDPR).
Per le strutture sanitarie private, invece, il trattamento dei dati personali e delle categorie particolari dei dati, avente ad oggetto il monitoraggio e la valutazione della qualità dei servizi sanitari percepita dagli utenti, si fonda sul consenso.
Cosa valutare prima di un’indagine di gradimento
Le linee guida precisano, inoltre, che la comunicazione o la diffusione dei risultati delle indagini di gradimento effettuate può avvenire esclusivamente in forma aggregata e i dati raccolti non potranno essere in alcun modo utilizzati per perseguire finalità di profilazione degli utenti.
Resta inteso che, prima di implementare un’attività di indagine di gradimento, occorre valutare se vi sia una reale e concreta necessità di raccogliere i dati personali degli utenti oppure se non sia possibile raggiungere lo stesso risultato utilizzando dati anonimi.
In ogni caso, la partecipazione degli utenti al sondaggio resta sempre facoltativa.
Qualora si opti per sondaggi che prevedano un trattamento di dati personali, occorre, per prima cosa, in un’ottica di privacy by design e privacy by default, valutare se sia opportuno procedere all’effettuazione di una valutazione d’impatto (qualora il trattamento preveda l’utilizzo di nuove tecnologie).
Inoltre, considerati la natura, l’oggetto e il contesto, occorre anche valutare se il trattamento dati possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in quanto, in ambito sanitario, le attività possono avere ad oggetto trattamenti su larga scala di dati riguardanti la salute e/o relativi a categorie di interessati “vulnerabili”.
Fatte le dovute valutazioni, occorre fornire agli interessati un’informativa ex art. 13 e seguenti del GDPR, nominare eventuali soggetti esterni che collaborano alla realizzazione dell’indagine quali responsabili del trattamento ex art. 28 del GDPR e attuare adeguate misure di sicurezza tecniche ed organizzative in merito alla conservazione dei dati e alla diffusione dei risultati delle indagini prodotte, ex art. 32 del GDPR.
Inquadrare le misure nell’attuale contesto normativo
Fermo restando eventuali aggiornamenti e/o ulteriori indicazioni sul tema da parte dell’Autorità Garante, tali linee guida continuano ad essere un’utile indicazione per l’operato delle strutture sanitarie in tema di Customer Satisfaction.
Tuttavia, l’attuazione di tali misure non può prescindere dal vigente contesto normativo in materia di protezione dei dati e, quindi, dalla loro reinterpretazione alla luce dei principi del GDPR.
Note
[1] Art. 14, comma 1 del D.lgs. n. 502/1992
[2] Cfr. Allegato 3/bis del D.P.C.M. 19 maggio 1995
[3] Artt. 10 e 14 del D.lgs. n. 502/1992; art. 11, co. 1, lett. c), della L. 15 marzo 1997, n. 59 e art. 11 del D.lgs. n. 286/1999