Si abbassano le cifre del countdown. Meno di cento giorni ed entrerà in vigore il nuovo codice che modifica il modo di pensare e trattare i dati sensibili, in particolare quelli sanitari. Una rivoluzione culturale e sociale, scandita dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, summa di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona. Un insieme di dati ultrasensibili ad alto rischio privacy, che strutture sanitarie e socio sanitarie pubbliche e private, chiamate a diverso titolo a gestire database e dati personali, dovranno maneggiare con cura: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line, fino ai siti web dedicati, tutto richiederà la massima sorveglianza. Anche perché chi sbaglia paga: per quanti non rispetteranno gli obblighi imposti dal Regolamento Privacy sono previste sanzioni fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.
Ma l’Europa e l’Italia sono pronte a implementare il regolamento per il prossimo 25 maggio? Come ha spiegato il Garante europeo della protezione dei dati Giovanni Buttarelli, alcuni Paesi sono ancora “straordinariamente in ritardo”. In Italia sta crescendo la consapevolezza di questo cambiamento, non tutti gli operatori sono però al corrente dei dettagli e delle scelte da effettuare. Fortunatamente il codice sulla Privacy adottato nel 2013 nel nostro Paese è quello che più si avvicina al nuovo Regolamento. Non sarà quindi uno shock da un punto di vista dei principi, ma una rivoluzione effettiva nel modo in cui in concreto questi sono esercitati. Anche perché le sanzioni sono più elevate rispetto alla normativa attuale”.
Di certo sono tante le novità. Oltre al debutto del “dato sanitario” – nel quale vengono annoverati oltre ai dati personali, ossia informazione riguardante la persona fisica identificata o identificabile, quelli genetici, quindi quelli ereditati o acquisiti e i dati biometrici relativi a caratteristiche fisiche fisiologiche o comportamentali – si affaccia anche una nuova figura professionale, il Data protection officer (Dpo), anello di congiunzione tra la struttura e il Garante, soggetto autonomo e super partes che svolgerà da un lato attività di consulenza e formazione e dall’altro un’attività di controllo sul trattamento dei dati. Spetterà al Dpo, un ingegnere o un avvocato, ma anche una figura interna alla struttura, denunciare senza ritardo e non oltre le 48 ore eventuali violazioni.
Ma la stella polare sarà l’accountability, intesa come “responsabilizzazione”. La palla della protezione passa infatti al titolare e in subordine a chi tratta i dati. Queste figure saranno tenute ad adottare ‘best practice’ nella tutela del dato supersensibile inerente lo stato di salute di qualsiasi individuo, assicurando nel contempo che lo stesso dato rimanga nella disponibilità del Ssn, oltre che accessibile all’interessato e a chiunque sia stato preventivamente indicato ed autorizzato. In sostanza, se prima era sufficiente che il titolare del trattamento si attenesse alle regole comportamentali di volta in volta emanate dal legislatore per essere esente da ogni responsabilità, con il Regolamento lo scenario cambia: la nuova normativa lascia al titolare l’onere di trovare e applicare i sistemi che ritiene migliori per una sicura gestione dei dati personali.
Giro di vite, inoltre, per chi viola le norme. La cogenza delle regole sarà garantita da un sistema sanzionatorio che non perdona: alle specifiche violazioni degli obblighi imposti dal regolamento corrisponderanno sanzioni amministrativo-pecuniarie, rese più aspre ed effettive rispetto al passato fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato mondiale totale annuo.
Un tassello importante per garantire la massima tutela dei dati personali e sanitari sarà la formazione e l’aggiornamento continuo del personale dipendente, operatori sanitari e personale amministrativo, in particolare in ambito ospedaliero. “La formazione costituisce un punto di forza del nuovo corso – ha detto Massimiliano Parla, avvocato e presidente di Scudomed, ente di promozione e studio degli approcci medico-legali della professione medica – dovendo le strutture partire dalla condivisione dei modelli con tutto il personale sanitario, medici e infermieri inclusi. Uno scudo per impedire la violazione al trattamento dei dati, soprattutto se si considera che la maggior parte dello smarrimento o dei furti dei dati dipende dalle cosiddette talpe interne alla struttura”.

Leave a Reply

You must be logged in to post a comment.