DPO Aziende Sanitarie: Protezione dei dati Sanitari

Si avvicina la fatidica data della piena applicazione del GDPR (General Data Protection Regulation) europeo:  25 Maggio 2018.

Sono pronte le Aziende Sanitarie italiane nel far fronte all’attuazione della nuova normativa europea in materia di Protezione dei dati sanitari?

Il GDPR europeo si inquadra all’interno dei continui processi di innovazione nel trattamento di dati personali.

L’Unione Europea considera la protezione dei dati come una necessità prioritaria, ed obbliga tutte le organizzazioni a fornire il loro contributo per contrastare il fenomeno del furto di informazioni sanitarie  in maniera adeguata.

Nell’ottica di prevenzione, il GDPR 2016/679, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016. definisce gli strumenti e le strategie per organizzare in maniera predefinita la protezione delle informazioni, sin dalla progettazione dei processi.

Chi è  il DPO Aziende Sanitarie?

Il Data Protection Officer – DPO Aziende sanitarie – in italiano R.D.P (Responsabile dati Sanitari) è la figura principale all’interno di una Struttura Sanitaria pubblica e Privata che deve permettere il governo della protezione dei dati personali in aderenza appunto alla normativa.

Il DPO è una figura rilevante non è il solo al centro del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.

Si tratta di un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda santaria, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Compiti e Responsabilità del DPO Aziende Sanitarie

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO:

• informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
• vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
• verificare l’attuazione e l’applicazione del Regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di default di dati e sistemi (privacy by default); la sicurezza dei dati;
• garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
• controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
• controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
• fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
• controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta;

Il DPO può essere una figura esterna o interna all’Azienda (dipendente).

Il DPO interno dovrà evitare situazioni di conflitto rispetto a chi determina le finalità e le modalità del trattamento dei dati, ivi inclusi i profili di sicurezza.

Dunque sarà necessaria una rigorosa valutazione dell’organigramma scartando le persone che nell’esecuzione delle proprie mansioni abbiamo un certo margine decisionale sul trattamento dei dati.

Quando è obbligatoria la figura del DPO?

Sebbene la normativa sia ancora generale, variegata ed abbia necessità di ulteriori specifiche, ad oggi possiamo dire che la figura del DPO è obbligatoria come specificato nell’art. 37 del Regolamento:

a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;  
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati

Secondo le Linee Guida del WP29 tale figura sarebbe obbligatoria in base a 

• numero di soggetti interessati dal trattamento
• volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• durata dell’attività di trattamento;
• portata geografica dell’attività di trattamento

Certamente le Strutture Sanitarie pubbliche e Private rientrano a pieno titolo in questa categoria.

Quanto costa avere un DPO e quanto non averlo

Il costo di un responsabile della protezione dei dati in un’organizzazione sanitaria può partire da 80.000 EUR / anno, al netto delle risorse necessarie per la sua attività.

Non nominare il DPO invece potrebbe rivelarsi decisamente più costoso per una Azienda sanitaria, essendo previste sanzioni fino a 10 milioni di euro (GDPR, Art. 83 comma 4).

Medusa Software oltre a supportare le Strutture Sanitarie Clienti nella protezione e sicurezza dei dati sanitari dei pazienti sia in fase di progettazione sistemi che in quella di sviluppo, aiuta le stesse nella individuazione del DPO all’interno della Azienda o all’esterno, proponendo figure professionali di fiducia e di riferimento nel settore sanitario.