Il ruolo del Data Protection Officer o Responsabile della protezione dei dati personali, più noto come DPO o RPD nel settore della sanità pubblica italiana è oggi più cruciale che mai.
Indice degli argomenti
DPO in Sanità: verso un approccio proattivo alla protezione dei dati
Con l’evoluzione normativa, l’aumento dei rischi legati alla cybersecurity e la crescente digitalizzazione dei servizi sanitari, i DPO si trovano a dover affrontare sfide complesse che richiedono un cambio di paradigma nel loro approccio.
Non gli è più sufficiente, infatti, adottare una strategia reattiva, basata sulla mera compliance normativa e non sono sufficienti per il DPO le competenze meramente giuridiche o tecniche, ma anche organizzative e relazionali.
È necessario un approccio proattivo, integrato e strategico, che permetta ai DPO, anche avvalendosi di un adeguato team dotato di competenze multidisciplinari, di diventare veri e propri agenti di cambiamento all’interno delle organizzazioni sanitarie.
Le criticità dell’approccio attuale del DPO nel settore sanitario
Attualmente quasi tutti i DPO della Sanità operano in un contesto caratterizzato da risorse limitate, pressioni e mutamenti normativi e una mole crescente di responsabilità.
Molto spesso la necessità della loro nomina e lo svolgimento della loro funzione sono percepite come un mero adempimento formale di rispetto delle prescrizioni di cui all’articolo 37 del Regolamento Ue 2016/679, finalizzato ad evitare sanzioni piuttosto che a creare valore.
Questo approccio rischia di ridurre l’efficacia della funzione del DPO, limitando il prezioso contributo che le specifiche competenze possono offrire alla governance dei dati e alla protezione dei diritti dei cittadini.
Uno dei principali limiti che l’esperienza ha fatto registrare è la possibile mancanza di integrazione tra la funzione del DPO e le altre aree dell’organizzazione sanitaria.
E quasi sempre il DPO viene coinvolto soltanto in fase di emergenza, quando si verifica una violazione dei dati o si evidenzia un problema di compliance, violando così le indicazioni del fondamentale articolo 25 del Regolamento Ue “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” che prevede che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, per attuare in modo efficace i principi di protezione dei dati e integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Questo approccio frammentario non solo riduce l’efficacia delle misure di protezione, ma rende anche più difficile identificare e mitigare i rischi in modo tempestivo.
La necessità di una visione sistemica per la sicurezza dei dati
La complessità del settore sanitario, con la sua vasta gamma di trattamenti di dati personali di natura particolare ed i molteplici e costanti flussi informativi tra diversi attori (ospedali, altri Enti sanitari, fornitori esterni, ecc.), richiede una visione sistemica che deve necessariamente andare oltre il rispetto formale delle norme. te Responsabile della strategia e dell’implementazione delle tecnologie in ambito ICT.
Perché serve un approccio congiunto del DPO e della Funzione IT
In particolare appare di tutta evidenza la necessità di un approccio congiunto del DPO e della Funzione IT del sistema sanitario alla gestione degli adempimenti dell’articolo 32 “Sicurezza del trattamento” del succitato Regolamento che impone all’ente sanitario di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
La collaborazione tra le due funzioni, a tal proposito, contribuisce, come previsto del paragrafo 2 dell’articolo 32, a far sì che nel mettere in atto misure tecniche e organizzative adeguate, si tenga conto in special modo dei rischi presentati da trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Ciò rende possibile un allineamento e gestione sinergica di taluni adempimenti a carico dell’ente, ad esempio, nel caso di incidenti di cyber sicurezza.
Tali incidenti, che sono soggetti in via generale alle notifiche al CSIRT Italia (Computer Security Incident Response Team Italia) in ambito sanitario coinvolgono in tutta evidenza nella maggior parte dei casi dati personali, condizione che rende necessario valutare, alla luce del disposto degli articoli 33 e 34 del Regolamento UE 2016/679, se gli stessi debbano o meno essere considerati una vera e propria violazione dei dati personali e se debba essere avviata la notifica anche all’Autorità Garante Privacy.
L’importanza di un modello di gestione integrata del rischio
La mancanza di una strategia aziendale chiara e condivisa fra tutti coloro che si occupano di sicurezza all’interno dell’ente rischia, pertanto, di compromettere non solo la sicurezza dei dati, ma anche la qualità dei servizi offerti ai pazienti.
Per superare queste criticità, i DPO della sanità pubblica italiana devono adottare un approccio più proattivo e integrato, che preveda una stretta collaborazione con tutte le aree dell’organizzazione.
Questo significa, innanzitutto, passare da una logica di compliance a una logica di governance, in cui la protezione dei dati diventa parte integrante della strategia aziendale.
Un primo passo in questa direzione è l’adozione di un modello di risk management basato su una valutazione continua dei rischi.
Questo permette di identificare potenziali vulnerabilità prima che si trasformino in problemi concreti, consentendo interventi tempestivi e mirati.
Inoltre, è fondamentale promuovere una cultura della privacy all’interno dell’organizzazione, attraverso attività di formazione continua e di sensibilizzazione, rivolte a tutto il personale, compreso il top management, in particolare in previsione di modifiche importanti dei sistemi di trattamento di dati che vengono utilizzati per assicurare i servizi erogati.
Un altro aspetto cruciale riguarda la necessità di integrazione tra la funzione del DPO e le altre aree strategiche, come l’IT, la cybersecurity e la gestione dei processi, in particolare per quanto riguarda la governance del sistema di affidamento a parti terze di attività di competenza aziendale, alla luce delle indicazioni del Considerando 74 del succitato Regolamento.
Questo infatti statuisce che “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
Tale norma ci indica che costituisce una attività essenziale del processo di governance non solo il decidere se e come affidare a soggetti terzi attività aziendali, ma anche il valutare e controllare regolarmente che la parte terza svolga correttamente i compiti affidati, vista la responsabilità che comunque rimane in capo all’ente.
A tal proposito l’Autorità Garante in numerosi Provvedimenti ha ricordato ad enti sanitari, anche adottando delle specifiche sanzioni, che rimane in capo al titolare del trattamento la responsabilità generale anche nel caso di affidamento a terzi di attività di trattamento che abbiano comportato una violazione di dati.
Il ruolo del DPO nell’innovazione tecnologica in sanità
Solo quindi attraverso una collaborazione sinergica del DPO con gli altri attori coinvolti nel processo di innovazione è possibile garantire, tenendo conto delle specificità e complessità del contesto sanitario, una protezione efficace dei dati facenti parte del patrimonio informativo aziendale.
L’implementazione e la diffusione di soluzioni tecnologiche avanzate, come ad esempio le intelligenze artificiali, la blockchain, la creazione di dati sintetici e l’utilizzo delle reti neurali federate può certamente contribuire a migliorare la sicurezza e la tracciabilità dei dati, ma a patto che sia governata mediante uno stretto coordinamento tra le diverse competenze interne all’Ente sanitario.
Il DPO deve essere un agente del cambiamento
Per realizzare questo cambiamento di approccio, i DPO devono assumere un ruolo più strategico all’interno delle organizzazioni sanitarie.
Non più semplici “custodi della normativa”, ma veri e propri agenti di cambiamento, in grado di guidare proattivamente le organizzazioni verso una gestione più efficace e responsabile dei dati.
Questo richiede, da un lato, una maggiore autonomia e visibilità del DPO, che deve essere effettivamente coinvolto nei processi decisionali, come prevede il GDPR all’art. 38 comma 1: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”.
Ma deve anche poter avere accesso alle risorse necessarie per svolgere il proprio ruolo, come previsto al comma 2 dello stesso articolo: “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.”
È altresì essenziale – siamo oramai entrati in pieno nell’era delle tecnologie informative avanzate e delle Intelligenze Artificiali – che i DPO sviluppino competenze trasversali, che vadano oltre la mera conoscenza normativa e che includano aspetti come la gestione del cambiamento, la comunicazione e l’innovazione tecnologica.
Per essere efficaci, i DPO devono essere in grado di dialogare autorevolmente con tutti gli stakeholder, sia interni che esterni, per promuovere una cultura condivisa della protezione dei dati.
Non devono essere solo al servizio della Direzione aziendale, o rivolgersi soltanto a coloro che sono autorizzati a trattare i dati, ma devono essere pronti a gestire i bisogni degli interessati, anche di quelli più fragili come i pazienti, che devono essere informati in modo chiaro e trasparente sui loro diritti, su come esercitarli e sulle misure adottate per proteggerne i dati.
Le opportunità del nuovo approccio per i DPO
Un cambio di strategia da parte dei DPO della sanità italiana non rappresenta solo una necessità, ma anche un’opportunità.
Un approccio proattivo e integrato può contribuire a migliorare la qualità dei servizi sanitari, aumentare la fiducia dei cittadini e ridurre i rischi legati alla gestione dei dati.
Inoltre, una gestione più efficace del patrimonio informativo, aprendo nuove opportunità per l’innovazione nel settore sanitario.
Ad esempio, la creazione di database di dati aggregati e anonimizzati, l’applicazione di nuove tecnologie come la creazione di dati sintetici o l’elaborazione mediante reti neurali federate, possono agevolare molto la ricerca medica e l’elaborazione di politiche sanitarie più efficaci, nel rispetto del diritto alla riservatezza dei pazienti.
Conclusioni
Il contesto in cui operano i DPO della sanità è in rapida evoluzione e richiede un cambio di strategia che vada oltre la mera compliance normativa.
Adottare un approccio proattivo, integrato e strategico non solo migliorerà l’efficacia della funzione del DPO, ma contribuirà anche a creare un sistema sanitario più sicuro, trasparente e innovativo.
Per realizzare questo obiettivo, è essenziale che i DPO siano riconosciuti come figure strategiche all’interno delle organizzazioni sanitarie e che vengano dotati del supporto e delle risorse necessarie per svolgere il proprio ruolo in modo efficace.
Solo così sarà possibile affrontare le sfide del presente e cogliere le opportunità del futuro, garantendo al contempo la protezione dei dati ed il rispetto dei diritti dei cittadini.
