Nel complesso panorama della sanità pubblica italiana, la gestione della privacy e dei dati personali rappresenta una sfida cruciale.
Il Garante Privacy ha lanciato un chiaro invito: costituire una rete DPO nella sanità pubblica per rafforzare la protezione dei dati e migliorare la compliance normativa. Un’iniziativa strategica che potrebbe offrire numerosi vantaggi ai professionisti del settore e garantire una maggiore sicurezza per i cittadini.
Modelli organizzativi e gestione gerarchica dei dati sanitari
I titolari del trattamento che operano in tale contesto ben sanno, inoltre, che le innovazioni tecnologiche hanno profondamente mutato il processo di trattamento dei dati di salute, passato in pochi decenni da modalità analogiche e gestite in regime quasi del tutto autarchico a modalità automatizzate e digitali, condivise tra più attori, le cui attività devono svolgersi nel rispetto dei principi di privacy by design e privacy by default di cui all’articolo 25 del Regolamento Ue 2016/679.
Riprova di tale nuovo approccio alla gestione dell’informazione di salute sono, in particolare, i modelli organizzativi condivisi gerarchicamente tra i diversi livelli di cui si compone il sistema sanitario, come ad esempio quello dell’anagrafe nazionale vaccini o dell‘importante strumento costituito dal Fascicolo Sanitario Elettronico dove le responsabilità del trattamento dei dati sono suddivise tra livello del produttore, la struttura sanitaria, del coordinatore a livello locale, la regione o la provincia autonoma, e il livello centrale, spesso individuato nel Ministero della Salute.
Il ruolo cruciale del DPO nella sanità pubblica
In questo contesto, il ruolo del Data Protection Officer è divenuto sempre più cruciale, ma anche sempre più impegnativo da svolgere.
E purtroppo sinora, per contro, pochi amministratori se ne sono resi pienamente conto, rischiando così di avviare trattamenti di dati di non completa liceità e compliance al dettato normativo, corpus di regole che spesso non tiene il passo con le occasioni messe a disposizione dall’innovazione tecnologica o non riesce a individuarne pienamente i possibili punti critici.
L‘invito del Garante alla creazione di una rete DPO
Per supportare nel miglior modo tale processo e consentire al sistema sanitario di affrontare con efficacia le sfide attuali e future, è quindi oltremodo opportuno pensare ad avviare una maggiore collaborazione tra i DPO delle diverse strutture sanitarie, professionisti che nel dare seguito ai compiti previsti dall’articolo 39 del Regolamento UE 2016/679 possono trovare estrema utilità nel confronto e collaborazione tra pari.
Ed è proprio l’Autorità Garante che, anche alla luce di esperienze già attive da tempo relativamente al Progetto, messo in campo da Garante e ABI, di costituzione di una “Rete dei Responsabili della protezione dati nel settore bancario”, un gruppo di lavoro permanente, finalizzato al confronto e interscambio informativo tra l’Autorità e i RPD coinvolti nella gestione di trattamenti così complessi” ha nel corso di una importante giornata di studio tenutasi a Trieste a fine novembre 2024 ed organizzata da APIHM e dall’Università di Trieste che ha invitato i DPO del sistema sanitario ad organizzarsi con una propria rete.
Perché creare una rete DPO per la sanità pubblica?
A tal proposito la costituzione di una Rete nazionale dei DPO della sanità pubblica può rappresentare oggi una soluzione strategica per migliorare l’efficacia della funzione di tali professionisti, tale da garantire una gestione più coordinata e una protezione più uniforme dell’enorme e preziosissimo patrimonio di dati dei cittadini che i singoli Enti sanitari hanno in custodia e che sono molto ambiti da svariati soggetti, come i fornitori di servizi e i produttori di farmaci, ma anche dai criminali.
Ma quali sono le principali motivazioni che giustificano questa necessità?
Ridurre la frammentazione e uniformare la compliance
Il sistema sanitario italiano è caratterizzato da una estrema frammentazione, con una serie diversificata di strutture (ospedali, ASL, aziende sanitarie, IRCCS, Aziende sanitarie universitarie, Cliniche Universitarie, Case di cura, Centri diagnostici) con caratteristiche e dimensioni diverse che operano in modo autonomo e sono soggette a regolamentazioni non del tutto omogenee.
Questa frammentazione si riflette anche nella gestione della riservatezza degli utenti dei servizi e della protezione dei loro dati, tematiche che vengono affrontate con approcci disomogenei e, purtroppo, molto spesso di non completa efficacia come vediamo dalla cronaca, con i molti blocchi e danni ai sistemi informativi per attacchi di ransomware o altri tipi di incidenti di sicurezza.
La costituzione di una specifica rete di DPO potrebbe innanzitutto ridurre il rischio di interpretazioni divergenti della vigente normativa nazionale e comunitaria, favorendo senz’altro una maggiore uniformità nell’applicazione delle norme.
Tale uniformità applicativa risulta particolarmente importante in un contesto nel quale i dati sanitari vengono spesso condivisi tra diverse strutture, in particolare per garantire la continuità assistenziale o per la conduzione di attività di ricerca.
La possibilità di condividere conoscenze, esperienze e best practice, tipico effetto di una rete tra professionisti, sarebbe quindi di grande beneficio per il settore sanitario, che è caratterizzato da estremo dinamismo e governato da normative in continua evoluzione ed esposto ai rischi emergenti, come quelli legati alla cybersecurity e all’uso delle nuove tecnologie, come l’intelligenza artificiale e la telemedicina.
Una rete permetterebbe ai DPO di confrontarsi sulle tematiche di carattere comune, sulle soluzioni adottate e sulle criticità riscontrate, e l’esito del dibattito interno alla rete andrebbe così a costituire un patrimonio di conoscenza comune, a beneficio di tutti i suoi componenti.
Inoltre, la possibile analisi e condivisione tra gli attori della rete di taluni modelli operativi e di strumenti standardizzati, come linee guida, checklist, e di metodiche per la valutazione d’impatto dei trattamenti, ecc. potrebbe contribuire a ridurre significativamente i tempi ed i costi legati al raggiungimento della compliance dei titolari del trattamento del contesto sanitario, migliorando al contempo la qualità del lavoro svolto all’interno delle relative strutture.
Rfforzare la sicurezza e la risposta alle emergenze
Nel settore sanitario le violazioni dei dati e gli incidenti di cybersecurity sono in costante aumento, e le statistiche ufficiali su tale problematica evidenziano che tale settore operativo rappresenta uno dei principali bersagli degli attacchi da parte dei criminali informatici, visto anche l’elevato valore economico delle informazioni oggetto di corrente e massivo trattamento.
Ma il tema della sicurezza dei dati è purtroppo di scarso interesse per il management e nel caso purtroppo sempre più frequente di emergenze di sicurezza, i DPO si trovano spesso a dover gestire situazioni complesse, con tempi stretti e pressioni elevate.
Una rete di DPO potrebbe quindi costituire un sistema di allerta che permette di condividere informazioni su potenziali minacce e di coordinare risposte tempestive ed efficaci.
Inoltre, la rete potrebbe facilitare la creazione di protocolli comuni per la gestione delle violazioni dei dati, garantendo una risposta uniforme e conforme alle normative agli enti dove questi operano.
Diffondere la cultura della privacy nella sanità
Uno dei compiti fondamentali del DPO è promuovere una cultura della riservatezza e della protezione dei dati personali all’interno dell’organizzazione dei titolari e dei responsabili del trattamento.
Tuttavia, in un contesto frammentato come quello del sistema sanitario italiano questo obiettivo, che costituisce a ben vedere una vera e propria misura organizzativa di sicurezza, non sempre viene perseguito con metodo e risorse adeguate, rischiando di ottenere risultati disomogenei e di efficacia molto limitata.
Una rete strutturata e coordinata di DPO potrebbe quindi svolgere un ruolo chiave nel promuovere una cultura della privacy condivisa a livello di sistema e una maturazione della percezione della rilevanza della materia della protezione dei dati come asset fondamentale del sistema sanitario.
Attività come campagne di sensibilizzazione, workshop per il top management, corsi di formazione comuni o la creazione di materiali informativi standardizzati, potrebbero aumentare in effetti la consapevolezza di tutti gli operatori sanitari, migliorando l’attenzione alla protezione dei dati e riducendo enormemente i rischi legati agli errori umani, che sappiamo esserne la maggior fonte.
La rete DPO come strumento di rappresentanza e ottimizzazione
I DPO del sistema sanitario si trovano a dover affrontare sfide comuni, legate all’interpretazione delle normative, alla mancanza di risorse e all’estrema complessità tecnica del settore nel quale si trovano ad operare.
Senza un coordinamento a livello nazionale, la loro voce rischia di rimanere frammentata, per nulla incisiva e spesso inascoltata.
Una rete coordinata di DPO potrebbe a tal proposito svolgere un ruolo di rappresentanza di questo importantissimo settore, portando le istanze direttamente all’attenzione delle istituzioni, dell’Autorità Garante per la protezione dei dati personali e degli altri stakeholder, fra i quali anche i rappresentanti della particolare categoria di interessati, i cittadini assistiti dal sistema sanitario.
Questo permetterebbe ai DPO di far sentire la propria voce, di influenzare positivamente le politiche pubbliche, di ottenere chiarimenti normativi e di garantire che le specificità del settore sanitario siano adeguatamente considerate.
Molte strutture sanitarie, soprattutto quelle più piccole, faticano a dotarsi di DPO con competenze adeguate, spesso a causa del limitato impegno di risorse e della scarsa comprensione dell’importanza strategica di questa figura.
Una rete coordinata di DPO potrebbe favorire la condivisione di risorse e competenze, ad esempio attraverso la creazione di pool di esperti disponibili a supportare più strutture o la definizione di modelli di collaborazione tra grandi e piccole aziende sanitarie.
La rete potrebbe anche facilitare l’accesso a finanziamenti o progetti comuni, sfruttando sinergie e riducendo i costi per le singole strutture di titolari e responsabili del trattamento.
Guidare l’innovazione digitale in sanità
La digitalizzazione del settore sanitario rappresenta un’opportunità straordinaria per migliorare l’efficienza e la qualità dei servizi che gli enti devono assolutamente cogliere, ma essa può comportare anche nuovi rischi per la protezione dei dati, ancora non ben compresi e quindi non pienamente valutati.
L’adozione di tecnologie come l’intelligenza artificiale, la blockchain o i big data in ambito sanitario richiede un approccio molto attento e consapevole, che tenga debitamente conto delle conseguenti implicazioni per la protezione dei dati degli interessati.
Una rete coordinata di DPO potrebbe svolgere un ruolo chiave nel guidare l’innovazione, garantendo che le nuove tecnologie siano implementate nel rispetto delle normative e dei diritti dei cittadini.
Inoltre, la rete potrebbe favorire lo sviluppo di soluzioni comuni, come piattaforme sicure per la condivisione dei dati o strumenti per una migliore pseudonimizzazione dei dati, anche a scopo di ricerca.
Perché la rete DPO è una necessità strategica
In conclusione, la costituzione di una rete dei DPO del sistema sanitario nazionale non è più un’opzione, ma è diventata una necessità vera e propria.
In un contesto caratterizzato da complessità normative, rischi crescenti e risorse limitate, la collaborazione tra i DPO rappresenta l’unico modo per garantire una protezione efficace dei dati e, al contempo, migliorare l’efficienza del sistema sanitario.
Una rete di DPO permetterebbe di condividere conoscenze, uniformare gli approcci, rafforzare la capacità di risposta alle emergenze e promuovere una cultura della privacy condivisa.
Inoltre, potrebbe svolgere un ruolo di rappresentanza e favorire l’innovazione, contribuendo a creare un sistema sanitario più sicuro, trasparente e all’avanguardia.
Investire nella creazione di questa rete non significa solo rispondere alle esigenze del presente, ma anche prepararsi alle sfide del futuro, garantendo che la protezione dei dati rimanga al centro della trasformazione digitale del settore sanitario, nel pieno rispetto ed a tutela dei principi fondamentali del Regolamento UE 2016/679.
