privacy

Aziende sanitarie alle prese col GDPR, ecco i nodi in Italia

Un confronto tra le prassi in materia di privacy che dovrebbero già risultare consolidate nelle Aziende Sanitarie italiane e quelle introdotte dal GDPR e un quadro sintetico delle situazioni che rendono estremamente difficile l’applicazione della normativa europea in tale contesto

Pubblicato il 24 Ott 2018

Andrea Oliani

Direttore Sistema Informativo ed Informatico ULSS 9 Scaligera di Verona

Le basi giuridiche del trattamento dei dati: i casi in sanità

Pur in un contesto normativo ancora in evoluzione, proviamo a fare un confronto pragmatico e sintetico tra le prassi che dovrebbero già risultare consolidate nelle Aziende Sanitarie italiane alla luce delle previsioni del D.Lgs. 196/2003 e quelle previste dal GDPR e a sintetizzare le difficoltà dell’applicazione del Regolamento europeo nel contesto sanitario.

Le difficoltà nell’applicazione del GDPR

La normativa sulla privacy, sin dalla sua prima emanazione (D.Lgs. 675/1996), ha richiesto alle Aziende (o meglio ai Titolari) un insieme di adempimenti che richiedono, come prerequisito indispensabile, la profonda conoscenza del “funzionamento” di ciascuna singola Azienda.

È infatti impossibile anche solo censire i “trattamenti” che vengono effettuati senza avere una completa conoscenza dei “processi” aziendali (ovvero chi fa che cosa e in che modo per il raggiungimento di una certa finalità di business).

Tale ineludibile necessità è stata progressivamente rafforzata e sottolineata dal legislatore, sia attraverso il D.Lgs. 196/2003 sia con il recepimento GDPR.

Quest’ultimo, attraverso i principi di “privacy by default” e “privacy by design”, impone che i processi aziendali siano “riprogettati” (o riplasmati) per renderli intrinsecamente coerenti con la normativa privacy e, attraverso strumenti quali il Registro dei Trattamenti e la Valutazione d´impatto sulla protezione dei dati (DPIA), richiede che venga documentata in modo completo e “tracciabile” tale riprogettazione, con esplicitazione delle scelte adottate e delle relative motivazioni e la loro costante revisione ogni volta che l’evoluzione organizzativa dell’Azienda la renda necessaria.

Confrontando la realtà delle Aziende Sanitarie Pubbliche italiane con il quadro normativo sopra sintetizzato emergono con forza alcune situazioni che rendono estremamente difficile l’applicazione del GDPR in tale contesto (come anche evidenziato nel recente evento Aisdet):

  • in generale le Aziende Sanitarie italiane non conoscono i propri processi; per conoscere un processo (come qualunque altra entità) è necessario saperlo descrivere e documentare; tale documentazione non è mai stata prodotta, e ciò a causa della grave carenza di cultura organizzativa che connota tutta la PA italiana, e la Sanità Pubblica in modo del tutto particolare;
  • ne consegue che non sono conosciuti nemmeno i trattamenti che, nell’attuazione dei processi aziendali, vengono svolti;
  • se oggi si volesse (come imposto dal GDPR) iniziare il percorso di rilevazione dei processi e dei trattamenti tale impresa si rivelerebbe estremamente ardua, in quanto tale progetto non può essere realizzato senza la collaborazione degli attori dei processi e dei trattamenti stessi;
  • nonostante la normativa privacy abbia da sempre previsto come obbligatoria per le Aziende la formazione dei propri dipendenti in materia, molte Aziende Sanitarie Pubbliche italiane non si è mai fatta carico di svolgere tale azione formativa;
  • il risultato, ad oggi, è che una rilevante percentuale del personale clinico, sanitario ed amministrativo non conosce nemmeno i fondamentali della norma, a cominciare dal significato di “trattamento” e dai principi fondanti (necessità del trattamento, pertinenza dei dati trattati con la finalità, etc. etc.);
  • in ultima analisi, le stesse Direzioni Aziendali non sono, spesso, adeguatamente formate nel merito, e quindi viene spesso a mancare lo stesso mandato a procedere, ritenendosi erroneamente che per il rispetto della norma sia sufficiente l’adozione di meri atti formali burocratici (affissione di una qualche informativa, raccolta di un qualche consenso, assegnazione di incarichi di Responsabili dei trattamenti privi delle necessarie condizioni di efficacia).

GDPR e Sanità, le prassi necessarie prime e dopo

In che modo le Aziende Sanitarie italiane devono modificare le proprie prassi in materia di privacy a seguito dell’introduzione del GDPR? Ecco uno schema sinottico comparativo:

Prassi necessariaPrima del GDPRDopo il GDPR
Censimento dei trattamentiObbligatorio: un’Azienda che non conosce nemmeno l’elenco dei trattamenti che attua non può pensare di averne valutato le corrette modalità operativeObbligatorio: viene introdotta una maggior “formalizzazione” denominata “registro dei Trattamenti” (l’art. 30 del GDPR precisa una serie di informazioni da inserire nel registro)
Valutazione dei rischi connessi al trattamentoObbligatoria: è illecito attuare un trattamento senza averne valutato l’aderenza ai principi della norma ed alle misure minime di sicurezzaObbligatoria: viene introdotta la necessità di svolgere una “Valutazione d´impatto sulla protezione dei dati”, il che comporta la produzione di opportuna e specifica documentazione tecnico-organizzativa
Misure di sicurezzaObbligatorie: le “misure minime” (Allegato B alla 196/03), ma da perseguirsi “misure adeguate”Obbligatorie: scompaiono le misure minime, risulta obbligatorio individuare (e documentare) misure adeguate allo specifico trattamento
Valutazione preventiva dei nuovi trattamentiObbligatoria: (vedi valutazione dei rischi)Obbligatoria: viene prevista come obbligatoria la progettazione del trattamento (privacy by design) prima della sua attivazione (la progettazione deve ovviamente risultare documentata)
Notifica delle violazioni dei dati personali (o presunte tali)Non previstaObbligatoria: viene introdotto il concetto di “data breach” e la necessità di notifica entro 72 ore al DPO (artt. 33 e 34 del DGPR) oltre che all’interessato
Data Protection Officer (DPO)Non previstoObbligatorio: Il DPO è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda (art. 37 del GDPR)

GDPR e Sanità, tutte le sfide per la privacy dei dati sanitari

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2