Il GDPR (Global Data Protection Regulation) è alle porte
Il GDPR (Global Data Protection Regulation) è alle porte…il tempo per prepararsi è terminato!
In questo e nei prossimi due articoli affronteremo i punti salienti del Regolamento di cui tanto si parla in questi ultimi mesi.
Data la complessità degli argomenti trattati abbiamo ritenuto opportuno nel primo articolo dare, in estrema sintesi, una chiave di lettura del documento in modo da consentire un primo approccio “facilitato” permettendo un approfondimento successivo.
La piena efficacia è dal 25 Maggio: il legislatore ha previsto una serie di azioni stringenti e precise in capo al titolare del trattamento dei dati – che ha visto aumentare le proprie responsabilità (accountability), che lo costringono alla preventiva analisi dei rischi ed implementazione di idonee misure organizzative e tecnologiche.
Il GDPR, non si limita ad affrontare unicamente lo spinoso tema della privacy, ma introduce un nuovo concetto, più evoluto e dinamico circa la “Protezione delle persone fisiche in relazione al trattamento dei Dati Personali”.
E’ di tutta evidenza la necessità di un “salto culturale” che tutte le organizzazioni, dalle più semplici alle più complesse, devono acquisire velocemente, qualora non lo abbiano già fatto. L’iter di adeguamento alla normativa richiede un approccio sistemico.
Quali i cambiamenti introdotti in pratica?
Oltre all’obbligo di comunicare e notificare le violazioni di sicurezza (data breach), ricordiamo:
- il Registro dei trattamenti,
- la Valutazione d’impatto,
- l’introduzione della figura del DPO (Data Protection Officer),
- l’introduzione di concetti quali la privacy by design e la privacy by default,
- l’importanza rivestita dalla formazione.
Quali gli errori da non commettere?
- Intraprendere il percorso di adeguamento – che deve essere declinato attraverso un nuovo approccio culturale ed organizzativo – solo in termini di un “mero” costo e non anche come un’opportunità di competitività;
- Supporre che un sofisticato programma, seppur rispondente alle esigenze della nostra organizzazione, possa rappresentare “la panacea di tutti i problemi”, e tralasciare che si tratti di uno strumento di supporto per adeguarsi alla nuova normativa.
Siamo di fronte ad un vero e proprio rischio di processo che coinvolge l’organizzazione nella sua interezza. Ogni cambiamento organizzativo si basa sulla comprensione delle azioni da implementare e sulle risorse disponibili, entrambe sempre troppo esigue.
La modalità consigliata per garantire:
- protezione
- integrità
- disponibilità dati personali,
è quella di lavorare sui tre fronti della Governance, Law ed Insurance, pilastri di ogni organizzazione.
Nell’ambito sanitario, il GDPR diviene più stringente rispetto ad altre realtà poiché, trattando “dati particolari” anche di soggetti vulnerabili, il livello di attenzione e di azione sono maggiori.
Infatti, tutte le strutture sanitarie sia pubbliche che private autorizzate e/od accreditate, sono chiamate ad impiegare tutti quei processi atti a tutelare la protezione delle “persone fisiche”, .
Ai già citati obblighi, previsti per tutte le organizzazioni, nel sistema sanitario, trovano applicazione:
- DPIA (Data Protection Impact Assessment): si tratta di un’indagine che mira a riconoscere i trattamenti che presentino un rischio elevato per i diritti e le libertà delle persone fisiche;
- nomina del DPO;
- team dedicato ad obblighi di trasparenza (diritto di accesso, limitazione del trattamento, oblio e trasferimento dei dati);
- verifica dei rischi introdotti dall’informatizzazione della sanità (apparecchiature, cartella clinica elettronica, telemedicina);
- gestione del rischio residuo mediante trasferimento a terzi (polizze cyber).
In Sanità, il concetto di “protezione”, inteso come il “non arrecare danno alle persone fisiche”, estende i suoi confini fino ad includere quello del “diritto alla salute”, tutelato costituzionalmente.
La digitalizzazione sanitaria, strumento indispensabile ed irrinunciabile per la gestione della nostra salute, rappresenta una fonte di rischio che se non governata e gestita in modo adeguato potrebbe costituire un baco nel sistema fin qui rappresentato.
Quali conseguenze potrebbe avere un’intrusione che porti alla sottrazione della banca dati, o all’indisponibilità dei dati trattati? Cosa potrebbe accadere a seguito della “compromissione” di un sistema di telemedicina o dei fascicoli sanitari elettronici?
La motivazione che deve spingere le strutture sanitarie ad adeguarsi al GDPR non deve essere rappresentato dal timore di eventuali sanzioni, bensì dalla proiezione verso un fine più alto: la protezione e la sicurezza dei pazienti/utenti.
Si tratta, come già visto, di un rischio di processo che richiede un approccio di Risk Management, in grado di coordinare e far “dialogare” fra loro le diverse funzioni aziendali (IT, HTA, Rischio clinico, Amministrazione), con l’ulteriore obiettivo di migliorare la “resilienza” dell’organizzazione.