GDPR e dati sanitari

08/03/2018


Il countdown è agli sgoccioli. Poco più di 100 giorni per assistere alla piena applicazione delle nuove norme che modificano il modo di pensare e trattare i dati sensibili, e in particolare quelli sanitari delle persone. Una vera e propria rivoluzione culturale scandita dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, summa di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona.
 
Un insieme di dati ultrasensibili ad alto rischio privacy che strutture sanitarie e socio sanitarie pubbliche e private, chiamate a diverso titolo a gestire database e dati personali, dovranno maneggiare con cura: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line fino ai siti web dedicati, tutto richiederà la massima sorveglianza. Anche perché chi sbaglia paga: per quanti non rispetteranno gli obblighi imposti dal Regolamento Privacy sono previste sanzioni fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.
 
“La diretta applicabilità del nuovo regolamento generale – ha spiegato Giovanni Buttarelli, Garante europeo della protezione dei dati intervenuto all’incontro –  rappresenterà un momento culminante per il legislatore, impegnato nell’esercizio di rivedere la relativa normativa ormai dal 2010. Nello stesso tempo costituirà uno snodo cruciale anche e soprattutto per gli operatori chiamati a dare una piena applicazione e senza alcuno sconto. Sarà inoltre un momento decisivo per le autorità nazionali di controllo, incaricate di assicurare e monitorare la piena implementazione di un quadro normativo denso e con una pretesa di esaustività. Lo sforzo applicativo di questa regolamentazione che interessa il settore privato come quello pubblico – ha aggiunto – è quindi indiscusso. E la sanità, proprio per la particolare sensibilità dei dati personali strutturalmente coinvolti, sarà necessariamente chiamata in causa”.
Insomma, un cambio di passo verso una nuova “cultura privacy” e un sistema che garantisca la tutela dei diritti delle persone alla riservatezza dei dati personali; soprattutto in ambito sanitario dove le esigenze di protezione sono indiscutibilmente elevate.
 
Ma l’Europa e l’Italia sono pronte ad implementare il regolamento per il prossimo 25 maggio? Come ha spiegato il Garante europeo, alcuni Paesi sono ancora “straordinariamente in ritardo”. “Avremo qualche incertezza operativa dalla mezzanotte del 24 maggio – ha sottolineato –, ma speriamo che sia colmata il più presto possibile. Solo Germania e Austria ad oggi sono già riuscite a completare il percorso di adozione di norme che permettono di far vivere il Regolamento. Altri Paesi sono in grande fermento e grosso modo circa dieci riusciranno a recepire le norme entro la data prevista, compreso il Regno Unito che pensa in termini di brexit”.

Per quanto riguarda l’Italia sta crescendo la consapevolezza di questo cambiamento. Non tutti gli operatori sono al corrente dei dettagli e delle scelte da effettuare. Fortunatamente il codice sulla Privacy adottato nel 2013 nel nostro Paese è quello che più si avvicina al nuovo Regolamento. Non sarà quindi uno shock da un punto di vista dei principi ma una rivoluzione effettiva nel modo in cui in concreto questi sono esercitati. Anche perché le sanzioni sono più elevate rispetto all’attuale.

Di certo sono molti i “compiti a casa” per il legislatore nazionale e per chi gestisce le informazioni. E tante le novità principali del Regolamento Ue. Oltre al debutto del “dato sanitario” - nel quale vengono annoverati oltre ai dati personali, ossia informazione riguardante la persona fisica identificata o identificabile, quelli genetici, quindi quelli ereditati o acquisiti e i dati biometrici relativi a caratteristiche fisiche fisiologiche o comportamentali – si affaccia anche una nuova figura professionale, il Data protection officer (Dpo), anello di congiunzione tra la struttura e il Garante, soggetto autonomo e super partes che svolgerà da un lato attività di consulenza e formazione e dall’altra un’attività di controllo sul trattamento dei dati. Spetterà al Dpo, un ingegnere o un avvocato ma anche una figura interna alla struttura, denunciare senza ritardo e non oltre entro le 48 ore le eventuali violazioni.
 
Ma la stella polare sarà l’accountability. “L’intero sistema di trattamento dei dati personali subirà una forte modifica e da statico dovrà assumere forti connotati di dinamicità con evidenti ripercussioni sulle procedure di trattamento da utilizzare – ha spiegato Massimiliano Parla, avvocato– in particolare quello dell’accountability, intesa come responsabilizzazione, sarà uno dei principi cardine introdotti dal nuovo Regolamento Privacy e costituirà il perno e nello stesso tempo il collante della nuova normativa europea che si applicherà direttamente in Italia. Tutto ruota quindi intorno a questa parola, significa che la palla della protezione dei dati passa al titolare e in subordine a chi li tratta. Questi saranno tenuti ad adottare ‘best practice’ nella tutela del dato supersensibile inerente lo stato di salute di qualsiasi individuo, assicurando nel contempo che lo stesso dato rimanga nella disponibilità del Ssn oltre che accessibile dall’interessato e da chiunque sia stato preventivamente indicato ed autorizzato”.
 
In sostanza, se prima era sufficiente che il titolare del trattamento si attenesse alle regole comportamentali di volta in volta emanate dal legislatore per essere esenti da ogni responsabilità, con il Regolamento lo scenario cambia: la nuova normativa lascia al titolare l’onere di trovare e applicare i sistemi che ritiene migliori per una sicura gestione dei dati personali.
 
Giro di vite per chi viola le norme. La cogenza delle regole sarà garantita da un sistema sanzionatorio che non perdona: alle specifiche violazioni degli obblighi imposti dal regolamento corrisponderanno sanzioni amministrativo-pecuniarie, rese più aspre ed effettive rispetto al passato fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato mondiale totale annuo. Le sanzioni saranno erogate non solo in ordine al grado di responsabilità del titolare del trattamento ma anche per le attività che svolge in cooperazione con l’Autorità garante a seguito di eventuali subite violazioni sul dato sanitario. Il termine massimo di 48 ore imposto per la comunicazione dal Regolamento Privacy segna l’importanza di una pronta reazione da parte della struttura sanitaria nel tentativo di ridurre al massimo l'eventuale danno che l'interessato potrebbe subire. Insomma un sistema sanzionatorio che pone il problema di una vera e propria rivisitazione dell’assetto aziendale in chiave preventiva.
 
Un tassello importante per garantire la massima tutela dei dati personali e sanitari sarà la formazione e l’aggiornamento continuo del personale dipendente, operatori sanitari e personale amministrativo, in particolare in ambito ospedaliero. Uno scudo per impedire la violazione al trattamento dei dati soprattutto se si considera che la maggior parte dello smarrimento o dei furti dei dati dipende dalle cosiddette talpe interne alla struttura. E così il Regolamento prevede che il trattamento dei dati con strumenti elettronici è consentito solo a incaricati dotati di credenziali di autenticazione con codice ad hoc e da una parola chiave conosciuta solo dallo stesso.
 
Fascicolo sanitario elettronico (Fse). È una delle punte di diamante per la raccolta di tutti i dati personali, sanitari, genetici e biometrici del paziente. E proprio per la sua importanza strategica deve essere protetto con sistemi di sicurezza. Le norme prevedono che ognuno potrà operare liberamente sul proprio Fse inserendo i dati che ritiene più opportuno, anche con autodichiarazioni relative al proprio stato di salute. Soprattutto, ognuno potrà cancellare, rettificare e anche oscurare i propri dati o una parte contenuti nel Fse e anche revocare il proprio consenso alla costituzione del Fse e all’inserimento e al trattamento dei dati. (Fonte: http://www.quotidianosanita.it)
____________________

Per le aziende e la PA che trattano dati critici o su larga scala c'è l'obbligo entro il 24 maggio 2018 di avere un RESPONSABILE PER LA PROTEZIONE DEI DATI.
CSQA propone un percorso formativo completo e riconosciuto (qualificato AICQ-SICEV), conforme alla nuova Norma UNI 11697 sui "Profili professionali relativi alla protezione dei dati"