Quotidiano on line
di informazione sanitaria
Venerdì 29 MARZO 2024
Lavoro e Professioni
segui quotidianosanita.it

Privacy e data protection. Parola d’ordine: “blindare” i dati sanitari


Scatta il 25 maggio prossimo l’implementazione del Regolamento Ue in materia di protezione dei dati personali che assicura una disciplina uniforme ed armonizzata tra tutti gli Stati membri. Il mondo giuridico e quello della sanità si sono confrontati su novità e criticità al convegno organizzato dall’Ordine degli avvocati di Roma con il contributo scientifico di Scudomed presso la Corte di Cassazione

13 FEB - Il countdown è agli sgoccioli. Poco più di 100 giorni per assistere alla piena applicazione delle nuove norme che modificano il modo di pensare e trattare i dati sensibili, e in particolare quelli sanitari delle persone. Una vera e propria rivoluzione culturale scandita dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, summa di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona.
 
Un insieme di dati ultrasensibili ad alto rischio privacy che strutture sanitarie e socio sanitarie pubbliche e private, chiamate a diverso titolo a gestire database e dati personali, dovranno maneggiare con cura: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line fino ai siti web dedicati, tutto richiederà la massima sorveglianza. Anche perché chi sbaglia paga: per quanti non rispetteranno gli obblighi imposti dal Regolamento Privacy sono previste sanzioni fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.
 
A mettere sotto i riflettori il nuovo Regolamento UE 679/2016 che, il prossimo 25 maggio entrerà definitivamente a regime in Italia, è stato il convegno “Il regolamento europeo privacy: impatto sul sistema sanitario” organizzato dall’Ordine degli avvocati di Roma con il contributo scientifico di Scudomed, presso la Corte di Cassazione. Un’occasione di confronto sia sulle novità e le opportunità offerte dalla nuova normativa europea, illustrate dal Garante europeo della privacy, sia sull’immanente e urgente esigenza di adeguamento agli standard previsti dal provvedimento europeo da parte di Organizzazioni e Aziende sanitarie.
 
“La diretta applicabilità del nuovo regolamento generale – ha spiegato Giovanni Buttarelli, Garante europeo della protezione dei dati intervenuto all’incontro –  rappresenterà un momento culminante per il legislatore, impegnato nell’esercizio di rivedere la relativa normativa ormai dal 2010. Nello stesso tempo costituirà uno snodo cruciale anche e soprattutto per gli operatori chiamati a dare una piena applicazione e senza alcuno sconto. Sarà inoltre un momento decisivo per le autorità nazionali di controllo, incaricate di assicurare e monitorare la piena implementazione di un quadro normativo denso e con una pretesa di esaustività. Lo sforzo applicativo di questa regolamentazione che interessa il settore privato come quello pubblico – ha aggiunto – è quindi indiscusso. E la sanità, proprio per la particolare sensibilità dei dati personali strutturalmente coinvolti, sarà necessariamente chiamata in causa”.
Insomma, un cambio di passo verso una nuova “cultura privacy” e un sistema che garantisca la tutela dei diritti delle persone alla riservatezza dei dati personali; soprattutto in ambito sanitario dove le esigenze di protezione sono indiscutibilmente elevate.
 
Ma l’Europa e l’Italia sono pronte ad implementare il regolamento per il prossimo 25 maggio? Come ha spiegato il Garante europeo, alcuni Paesi sono ancora “straordinariamente in ritardo”. “Avremo qualche incertezza operativa dalla mezzanotte del 24 maggio – ha sottolineato –, ma speriamo che sia colmata il più presto possibile. Solo Germania e Austria ad oggi sono già riuscite a completare il percorso di adozione di norme che permettono di far vivere il Regolamento. Altri Paesi sono in grande fermento e grosso modo circa dieci riusciranno a recepire le norme entro la data prevista, compreso il Regno Unito che pensa in termini di brexit”.

Per quanto riguarda l’Italia, ha ricordato Buttarelli (vedi Video) “sta crescendo la consapevolezza di questo cambiamento. Non tutti gli operatori sono al corrente dei dettagli e delle scelte da effettuare. Fortunatamente il codice sulla Privacy adottato nel 2013 nel nostro Paese è quello che più si avvicina al nuovo Regolamento. Non sarà quindi uno shock da un punto di vista dei principi – ha aggiunto – ma una rivoluzione effettiva nel modo in cui in concreto questi sono esercitati. Anche perché le sanzioni sono più elevate rispetto all’attuale”.

Di certo sono molti i “compiti a casa” per il legislatore nazionale e per chi gestisce le informazioni. E tante le novità principali del Regolamento Ue. Oltre al debutto del “dato sanitario” - nel quale vengono annoverati oltre ai dati personali, ossia informazione riguardante la persona fisica identificata o identificabile, quelli genetici, quindi quelli ereditati o acquisiti e i dati biometrici relativi a caratteristiche fisiche fisiologiche o comportamentali – si affaccia anche una nuova figura professionale, il Data protection officer (Dpo), anello di congiunzione tra la struttura e il Garante, soggetto autonomo e super partes che svolgerà da un lato attività di consulenza e formazione e dall’altra un’attività di controllo sul trattamento dei dati. Spetterà al Dpo, un ingegnere o un avvocato ma anche una figura interna alla struttura, denunciare senza ritardo e non oltre entro le 48 ore le eventuali violazioni.
 
Ma la stella polare sarà l’accountability. “L’intero sistema di trattamento dei dati personali subirà una forte modifica e da statico dovrà assumere forti connotati di dinamicità con evidenti ripercussioni sulle procedure di trattamento da utilizzare – ha spiegato Massimiliano Parla, avvocato e Presidente di Scudomed – in particolare quello dell’accountability, intesa come responsabilizzazione, sarà uno dei principi cardine introdotti dal nuovo Regolamento Privacy e costituirà il perno e nello stesso tempo il collante della nuova normativa europea che si applicherà direttamente in Italia. Tutto ruota quindi intorno a questa parola, significa che la palla della protezione dei dati passa al titolare e in subordine a chi li tratta. Questi saranno tenuti ad adottare ‘best practice’ nella tutela del dato supersensibile inerente lo stato di salute di qualsiasi individuo, assicurando nel contempo che lo stesso dato rimanga nella disponibilità del Ssn oltre che accessibile dall’interessato e da chiunque sia stato preventivamente indicato ed autorizzato”.
 
In sostanza, se prima era sufficiente che il titolare del trattamento si attenesse alle regole comportamentali di volta in volta emanate dal legislatore per essere esenti da ogni responsabilità, con il Regolamento lo scenario cambia: la nuova normativa lascia al titolare l’onere di trovare e applicare i sistemi che ritiene migliori per una sicura gestione dei dati personali.
Non solo, sottolinea il Presidente di Scudomed, da tempo l’associazione ha intrapreso lo studio delle metodologie volte ad adeguare i trattamenti dei dati sanitari alle norme del Regolamento UE e alle Linee Guida dell’Autorità Garante, sia dal punto di vista giuridico che tecnico, valorizzando le risorse strutturali già esistenti nelle varie realtà sanitarie con un chiaro riflesso sulla riduzione dei tempi e dei costi.
 
Giro di vite per chi viola le norme. La cogenza delle regole sarà garantita da un sistema sanzionatorio che non perdona: alle specifiche violazioni degli obblighi imposti dal regolamento corrisponderanno sanzioni amministrativo-pecuniarie, rese più aspre ed effettive rispetto al passato fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato mondiale totale annuo. “Le sanzioni – ha sottolineato Parla – saranno erogate non solo in ordine al grado di responsabilità del titolare del trattamento ma anche per le attività che svolge in cooperazione con l’Autorità garante a seguito di eventuali subite violazioni sul dato sanitario. Il termine massimo di 48 ore imposto per la comunicazione dal Regolamento Privacy segna l’importanza di una pronta reazione da parte della struttura sanitaria nel tentativo di ridurre al massimo l'eventuale danno che l'interessato potrebbe subire. Insomma un sistema sanzionatorio che pone il problema di una vera e propria rivisitazione dell’assetto aziendale in chiave preventiva”.
 
Un tassello importante per garantire la massima tutela dei dati personali e sanitari sarà la formazione e l’aggiornamento continuo del personale dipendente,operatori sanitari e personale amministrativo, in particolare in ambito ospedaliero. “La formazione costituisce un punto di forza del nuovo corso – ha detto Parla – dovendo le strutture partire dalla condivisione dei modelli con tutto il personale sanitario, medici ed infermieri inclusi. Uno scudo per impedire la violazione al trattamento dei dati soprattutto se si considera che la maggior parte dello smarrimento o dei furti dei dati dipende dalle cosiddette talpe interne alla struttura”. E così il Regolamento prevede che il trattamento dei dati con strumenti elettronici è consentito solo a incaricati dotati di credenziali di autenticazione con codice ad hoc e da una parola chiave conosciuta solo dallo stesso.
 
Fascicolo sanitario elettronico (Fse). È una delle punte di diamante per la raccolta di tutti i dati personali, sanitari, genetici e biometrici del paziente. E proprio per la sua importanza strategica deve essere protetto con sistemi di sicurezza. Le norme prevedono che ognuno potrà operare liberamente sul proprio Fse inserendo i dati che ritiene più opportuno, anche con autodichiarazioni relative al proprio stato di salute. Soprattutto, ognuno potrà cancellare, rettificare e anche oscurare i propri dati o una parte contenuti nel Fse e anche revocare il proprio consenso alla costituzione del Fse e all’inserimento e al trattamento dei dati.

13 febbraio 2018
© Riproduzione riservata

Altri articoli in Lavoro e Professioni

ISCRIVITI ALLA NOSTRA NEWS LETTER
Ogni giorno sulla tua mail tutte le notizie di Quotidiano Sanità.

gli speciali
Quotidianosanità.it
Quotidiano online
d'informazione sanitaria.
QS Edizioni srl
P.I. 12298601001

Sede legale:
Via Giacomo Peroni, 400
00131 - Roma

Sede operativa:
Via della Stelletta, 23
00186 - Roma
Direttore responsabile
Luciano Fassari

Direttore editoriale
Francesco Maria Avitto

Tel. (+39) 06.89.27.28.41

info@qsedizioni.it

redazione@qsedizioni.it

Coordinamento Pubblicità
commerciale@qsedizioni.it
    Joint Venture
  • SICS srl
  • Edizioni
    Health Communication
    srl
Copyright 2013 © QS Edizioni srl. Tutti i diritti sono riservati
- P.I. 12298601001
- iscrizione al ROC n. 23387
- iscrizione Tribunale di Roma n. 115/3013 del 22/05/2013

Riproduzione riservata.
Policy privacy