Pur in un contesto normativo ancora in evoluzione, proviamo a fare un confronto pragmatico e sintetico tra le prassi che dovrebbero già risultare consolidate nelle Aziende Sanitarie italiane alla luce delle previsioni del D.Lgs. 196/2003 e quelle previste dal GDPR e a sintetizzare le difficoltà dell’applicazione del Regolamento europeo nel contesto sanitario.
Le difficoltà nell’applicazione del GDPR
La normativa sulla privacy, sin dalla sua prima emanazione (D.Lgs. 675/1996), ha richiesto alle Aziende (o meglio ai Titolari) un insieme di adempimenti che richiedono, come prerequisito indispensabile, la profonda conoscenza del “funzionamento” di ciascuna singola Azienda.
È infatti impossibile anche solo censire i “trattamenti” che vengono effettuati senza avere una completa conoscenza dei “processi” aziendali (ovvero chi fa che cosa e in che modo per il raggiungimento di una certa finalità di business).
Tale ineludibile necessità è stata progressivamente rafforzata e sottolineata dal legislatore, sia attraverso il D.Lgs. 196/2003 sia con il recepimento GDPR.
Quest’ultimo, attraverso i principi di “privacy by default” e “privacy by design”, impone che i processi aziendali siano “riprogettati” (o riplasmati) per renderli intrinsecamente coerenti con la normativa privacy e, attraverso strumenti quali il Registro dei Trattamenti e la Valutazione d´impatto sulla protezione dei dati (DPIA), richiede che venga documentata in modo completo e “tracciabile” tale riprogettazione, con esplicitazione delle scelte adottate e delle relative motivazioni e la loro costante revisione ogni volta che l’evoluzione organizzativa dell’Azienda la renda necessaria.
Confrontando la realtà delle Aziende Sanitarie Pubbliche italiane con il quadro normativo sopra sintetizzato emergono con forza alcune situazioni che rendono estremamente difficile l’applicazione del GDPR in tale contesto (come anche evidenziato nel recente evento Aisdet):
- in generale le Aziende Sanitarie italiane non conoscono i propri processi; per conoscere un processo (come qualunque altra entità) è necessario saperlo descrivere e documentare; tale documentazione non è mai stata prodotta, e ciò a causa della grave carenza di cultura organizzativa che connota tutta la PA italiana, e la Sanità Pubblica in modo del tutto particolare;
- ne consegue che non sono conosciuti nemmeno i trattamenti che, nell’attuazione dei processi aziendali, vengono svolti;
- se oggi si volesse (come imposto dal GDPR) iniziare il percorso di rilevazione dei processi e dei trattamenti tale impresa si rivelerebbe estremamente ardua, in quanto tale progetto non può essere realizzato senza la collaborazione degli attori dei processi e dei trattamenti stessi;
- nonostante la normativa privacy abbia da sempre previsto come obbligatoria per le Aziende la formazione dei propri dipendenti in materia, molte Aziende Sanitarie Pubbliche italiane non si è mai fatta carico di svolgere tale azione formativa;
- il risultato, ad oggi, è che una rilevante percentuale del personale clinico, sanitario ed amministrativo non conosce nemmeno i fondamentali della norma, a cominciare dal significato di “trattamento” e dai principi fondanti (necessità del trattamento, pertinenza dei dati trattati con la finalità, etc. etc.);
- in ultima analisi, le stesse Direzioni Aziendali non sono, spesso, adeguatamente formate nel merito, e quindi viene spesso a mancare lo stesso mandato a procedere, ritenendosi erroneamente che per il rispetto della norma sia sufficiente l’adozione di meri atti formali burocratici (affissione di una qualche informativa, raccolta di un qualche consenso, assegnazione di incarichi di Responsabili dei trattamenti privi delle necessarie condizioni di efficacia).
GDPR e Sanità, le prassi necessarie prime e dopo
In che modo le Aziende Sanitarie italiane devono modificare le proprie prassi in materia di privacy a seguito dell’introduzione del GDPR? Ecco uno schema sinottico comparativo:
Prassi necessaria | Prima del GDPR | Dopo il GDPR |
Censimento dei trattamenti | Obbligatorio: un’Azienda che non conosce nemmeno l’elenco dei trattamenti che attua non può pensare di averne valutato le corrette modalità operative | Obbligatorio: viene introdotta una maggior “formalizzazione” denominata “registro dei Trattamenti” (l’art. 30 del GDPR precisa una serie di informazioni da inserire nel registro) |
Valutazione dei rischi connessi al trattamento | Obbligatoria: è illecito attuare un trattamento senza averne valutato l’aderenza ai principi della norma ed alle misure minime di sicurezza | Obbligatoria: viene introdotta la necessità di svolgere una “Valutazione d´impatto sulla protezione dei dati”, il che comporta la produzione di opportuna e specifica documentazione tecnico-organizzativa |
Misure di sicurezza | Obbligatorie: le “misure minime” (Allegato B alla 196/03), ma da perseguirsi “misure adeguate” | Obbligatorie: scompaiono le misure minime, risulta obbligatorio individuare (e documentare) misure adeguate allo specifico trattamento |
Valutazione preventiva dei nuovi trattamenti | Obbligatoria: (vedi valutazione dei rischi) | Obbligatoria: viene prevista come obbligatoria la progettazione del trattamento (privacy by design) prima della sua attivazione (la progettazione deve ovviamente risultare documentata) |
Notifica delle violazioni dei dati personali (o presunte tali) | Non prevista | Obbligatoria: viene introdotto il concetto di “data breach” e la necessità di notifica entro 72 ore al DPO (artt. 33 e 34 del DGPR) oltre che all’interessato |
Data Protection Officer (DPO) | Non previsto | Obbligatorio: Il DPO è un professionista con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda (art. 37 del GDPR) |
GDPR e Sanità, tutte le sfide per la privacy dei dati sanitari