EB insieme a Scudomed per il GDPR in Sanità

European Brokers, leader italiano nelle consulenza del rischio per la Sanità Privata e Religiosa, insieme a Scudomed per “blindare” i dati sanitari dei propri clienti. ll Garante Europeo, Giovanni Buttarelli, introduce il nuovo libro sul tema della privacy nella sanità.

La data è fissata per il 25 maggio prossimo quando sarà definitivamente implementato il Regolamento Ue in materia di protezione dei dati personali che assicura una disciplina uniforme ed armonizzata tra tutti gli Stati membri. Il mondo giuridico e quello della sanità si sono confrontati durante il convegno organizzato dall’Ordine degli avvocati di Roma con il contributo scientifico di Scudomed e la partecipazione di European Brokers presso la Corte di Cassazione il 13 febbraio scorso.

Una vera e propria rivoluzione culturale quella apportata dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, comprensivo di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona.

Le strutture sanitarie e socio sanitarie pubbliche e private sono chiamate da tempo a gestire database e dati personali: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line fino ai siti web dedicati.

Il Regolamento prevede sanzioni imponenti fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.

“La diretta applicabilità del nuovo regolamento generale – ha spiegato Giovanni Buttarelli, Garante europeo della protezione dei dati intervenuto all’incontro –  rappresenterà un momento culminante per il legislatore, impegnato nell’esercizio di rivedere la relativa normativa ormai dal 2010. Nello stesso tempo costituirà uno snodo cruciale anche e soprattutto per gli operatori chiamati a dare una piena applicazione e senza alcuno sconto. Sarà inoltre un momento decisivo per le autorità nazionali di controllo, incaricate di assicurare e monitorare la piena implementazione di un quadro normativo denso e con una pretesa di esaustività. Lo sforzo applicativo di questa regolamentazione che interessa il settore privato come quello pubblico – ha aggiunto – è quindi indiscusso. E la sanità, proprio per la particolare sensibilità dei dati personali strutturalmente coinvolti, sarà necessariamente chiamata in causa”.

Come ha spiegato il Garante europeo, alcuni Paesi sono ancora “straordinariamente in ritardo”. “Avremo qualche incertezza operativa dalla mezzanotte del 24 maggio – ha sottolineato –, ma speriamo che sia colmata il più presto possibile. Solo Germania e Austria ad oggi sono già riuscite a completare il percorso di adozione di norme che permettono di far vivere il Regolamento. Altri Paesi sono in grande fermento e grosso modo circa dieci riusciranno a recepire le norme entro la data prevista, compreso il Regno Unito che pensa in termini di brexit”.

Per quanto riguarda l’Italia, ha ricordato Buttarelli (vedi Video) “sta crescendo la consapevolezza di questo cambiamento. Non tutti gli operatori sono al corrente dei dettagli e delle scelte da effettuare. Fortunatamente il codice sulla Privacy adottato nel 2013 nel nostro Paese è quello che più si avvicina al nuovo Regolamento. Non sarà quindi uno shock da un punto di vista dei principi – ha aggiunto – ma una rivoluzione effettiva nel modo in cui in concreto questi sono esercitati. Anche perché le sanzioni sono più elevate rispetto all’attuale”.

Si affaccia anche una nuova figura professionale, il Data protection officer (Dpo) quale soggetto super partes che svolgerà da un lato attività di consulenza e formazione e dall’altra un’attività di controllo sul trattamento dei dati. Spetterà a  questa figura denunciare senza ritardo e non oltre entro le 48 ore le eventuali violazioni.

Parola d’ordine:accountability. “L’intero sistema di trattamento dei dati personali subirà una forte modifica e da statico dovrà assumere forti connotati di dinamicità con evidenti ripercussioni sulle procedure di trattamento da utilizzare – ha spiegato Massimiliano Parla, avvocato e Presidente di Scudomed – in particolare quello dell’accountability, intesa come responsabilizzazione, sarà uno dei principi cardine introdotti dal nuovo Regolamento Privacy e costituirà il perno e nello stesso tempo il collante della nuova normativa europea che si applicherà direttamente in Italia. Tutto ruota quindi intorno a questa parola, significa che la palla della protezione dei dati passa al titolare e in subordine a chi li tratta. Questi saranno tenuti ad adottare ‘best practice’ nella tutela del dato supersensibile inerente lo stato di salute di qualsiasi individuo, assicurando nel contempo che lo stesso dato rimanga nella disponibilità del Ssn oltre che accessibile dall’interessato e da chiunque sia stato preventivamente indicato ed autorizzato”.

Infatti mentre prima era sufficiente che il titolare del trattamento si attenesse alla norma per essere esenti da ogni responsabilità, con il Regolamento lo scenario si trasforma: la nuova normativa lascia al titolare l’onere di trovare e applicare i sistemi che ritiene migliori per una sicura gestione dei dati personali.

Un’attività fondamentale sarà  la formazione e l’aggiornamento continuo del personale dipendente,operatori sanitari e personale amministrativo, in particolare in ambito ospedaliero. “La formazione costituisce un punto di forza del nuovo corso – ha detto Parla – dovendo le strutture partire dalla condivisione dei modelli con tutto il personale sanitario, medici ed infermieri inclusi. Uno scudo per impedire la violazione al trattamento dei dati soprattutto se si considera che la maggior parte dello smarrimento o dei furti dei dati dipende dalle cosiddette talpe interne alla struttura”. E così il Regolamento prevede che il trattamento dei dati con strumenti elettronici è consentito solo a incaricati dotati di credenziali di autenticazione con codice ad hoc e da una parola chiave conosciuta solo dallo stesso.

Il Fascicolo sanitario elettronico (Fse) diventa elemento centrale per la raccolta di tutti i dati personali, sanitari, genetici e biometrici del paziente. Per questo motivo deve essere protetto con sistemi di sicurezza. Ogni cittadino potrà visualizzare il proprio Fse inserendo i dati che ritiene più opportuno, anche con autodichiarazioni relative al proprio stato di salute e revocare il proprio consenso alla costituzione del Fse e all’inserimento e al trattamento dei dati.

European Brokers – commenta il Group CEO Carlo De Simone – da sempre al fianco delle Aziende Sanitarie e dei Professionisti medici metterà a disposizione tutto il proprio know how con la collaborazione di Scudomed per informare, proteggere e tutelare i propri clienti. In particolare abbiamo avviato un programma assicurativo che parte dalla verifica dello stato di salute delle reti e degli strumenti hardware e software utilizzati, passa da un assessment legale e informativo e si conclude con il trasferimento del rischio al mercato assicurativo”.