E’ passato un anno dal 25 maggio 2018, data di inizio della piena applicazione del Reg. Ue 2016/679 (c.d.GDPR). Ed è altresì scaduto scaduto il “periodo di grazia” concesso dal legislatore con l’art. 22 comma 13 del D.Lgs. 101/2018 secondo il quale “per i primi otto mesi dalla data di entrata in vigore del presente decreto” il Garante avrebbe tenuto conto, nell’applicazione delle sanzioni, della prima fase di applicazione della disciplina. In altre parole: per i primi otto mesi ci si muoverà con i guanti di velluto. Tale periodo è “scaduto” il 19 maggio 2019, quindi ora il regime sanzionatorio verrà applicato pienamente.
Le aziende sanitarie ed ospedaliere hanno cominciato ad implementare il GDPR ponendo in essere i primi adempimenti: la nomina del Data Protection Officer, la mappatura dei dati con relativa predisposizione del Registro dei Trattamenti, la nomina dei responsabili ex art. 28 con invio dei nuovi contratti, la revisione delle informative con tutte le informazioni aggiuntive previste dall’art. 13 e 14 del GDPR.
Ma la strada è ancora lunga, per molteplici ordini di motivi.
Più precisamente: il GDPR è oggettivamente un testo complesso, anche dal punto di vista giuridico, quindi l’applicazione è complicata; l’European Data Protection Board-EDPB (che è la vera Cabina di Regia del GDPR) ha un programma di lavoro molto denso per gli anni 2019-2020 avendo in cantiere moltissimi documenti e linee guida di orientamento ancora da emanare che dovranno essere letti, capiti ed applicati; l’adeguamento legislativo da parte del legislatore italiano è avvenuto solo nel settembre 2018 e quindi il “nuovo Codice Privacy” è ancora un atto molto recente; la mole di atti, provvedimenti, codice deontologici ecc che, emanati con il precedente Codice Privacy, devono oggi essere “traslocati nella nuova casa” del GDPR è imponente e quindi tale “trasloco” richiede tempo e impegno; la cultura del dato e della sua governance comincia solo ora a muovere i primi passi e molti ,non avendo colto la portata innovativa della nuova disciplina (nè la sua complessità applicativa), non hanno predisposto le dovute risorse, nè umane nè economiche, con la conseguenza che l’implementazione zoppica e si trasforma in un mero adempimento ulteriore, del tutto insufficiente nel caso di controlli.
Peraltro anche chi ha lavorato con impegno deve ancora affrontare molte sfide che già da oggi sono richieste dal GDPR e che invece stentano a decollare.
Si pensi ad esempio al sistema della violazione dei dati: dal Rapporto Clusit 2019 emerge che negli ultimi dodici mesi la sanità ha subito l’incremento maggiore di attacchi, pari al 99% rispetto al 2017 e che nel 96% dei casi gli attacchi a questo settore hanno avuto finalità cybercriminali e di furto di dati personali. Questi numeri richiamano la necessità di alzare il livello di attenzione sul tema della violazione dei dati: il che significa non solo aumentare le sicurezza informatica ma anche sensibilizzare e fare cultura sul personale (iter ben più complesso di quello informatico).
Poi c’è il grande tema della valutazione d’impatto: questa è per tutti un compito nuovo che richiede non solo un’analisi del rischio del dato (che lentamente stiamo imparando a fare) ma anche il c.d. bilanciamento di interessi, attività di natura molto più legale perchè richiede di analizzare quali sono i diritti (tutti i diritti, non solo sicurezza e riservatezza) esposti a rischio e di valutare il rapporto costi benefici tra i vantaggi che si ottengono con il trattamenti ed i rischi che si corrono con lo stesso. Su questo tema viene in aiuto il Tool del CNIL , messo a disposizione anche dal Garante italiano sul suo sito.
Un importante aiuto potrà essere fornito da Codici di condotta specifici come quello promosso da Altems – Università Cattolica del Sacro Cuore proprio in ambito sanitario, ai cui lavori partecipa anche FedersanitàAnci: tali Codici, una volta approvati dal Garante Privacy (secondo la procedura prevista nel recente Regolamento 1/2019 dello stesso Garante) e rispettati dal titolare e responsabile, forniranno una presunzione di conformità al Regolamento in sede di controllo.
La portata di tutti questi temi richiede senza dubbio un confronto ed una riflessione: con questi obiettivi Federsanità Anci ha promosso un convegno in data 29 maggio 2019 a Tor Vergata nel corso dei quale i relatori invitati (prof. Fabrizio Massimo Ferrara, Coordinatore del Laboratorio ALTEMS sui sistemi informativi sanitari, l’avv. Silvia Stefanelli e Luigi Zampetti dello Studio Legale Stefanelli&Stefanelli) affronteranno il quadro giuridico, l’impatto del regolamento nell’uso dei DM, l’analisi dei rischio ed il nuovo Framework della Sapienza, i codici di condotta e le sanzioni.
