I requisiti della legge Gelli alla luce del Gdpr

La nuova disciplina amplia il novero degli obblighi in capo a tutti coloro che trattino dati personali, ma pone nelle loro mani il compito di individuare le misure che riducano il rischio di violazioni, attraverso l’introduzione del concetto di accountability di tutti i soggetti interessati al trattamento stesso. In un certo senso, viene qui capovolto il principio sinora adottato, di imporre dall’alto il rispetto di una particolare normativa, valida per tutti. 

Dal momento che ogni tipo di attività prevede caratteristiche uniche e differenti e può necessitare di un diverso tipo di approccio, il dovere di adottare le procedure più adatte alla bisogna viene posto in capo alle figure chiave che il Regolamento impone di individuare a ciascuna azienda. 

Sono questi il Titolare e il Responsabile del trattamento, che saranno tenuti a:

Queste figure chiave possono essere affiancate da una terza, costituita dal Data protection officer (Dpo), il quale può essere un soggetto interno o esterno all’azienda e ha il ruolo di referente diretto del Garante. La sua nomina ha generalmente la durata di quattro anni ed è obbligatoria per gli enti pubblici e per le imprese che trattino un rilevante numero di dati, oppure tipologie di dati considerate per loro natura a rischio, com’è il caso dei dati sanitari. È questa una nuova figura professionale, dotata di competenze giuridiche, informatiche e organizzative, che svolge un ruolo di controllo e supporto strategico per le decisioni operative del Titolare.

Il Regolamento prevede che ciascuna azienda debba munirsi di misure di sicurezza tanto più sofisticate, quanto più sensibili saranno i dati personali gestiti. Ciò implica la pseudonimizzazione e cifratura dei dati, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché, come abbiamo accennato, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati, in caso di incidente fisico o tecnico. 

È inoltre obbligatoria l’istituzione di una procedura volta a testare e verificare l’efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento. 

In pratica, si tratta di porre in atto le procedure più adatte e di prevederne anche il controllo continuo nel tempo, nel rispetto degli oneri imposti in via generale dalla nuova normativa, quali l’obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza, in caso di utilizzo; l’obbligo di comunicare tempestivamente al Garante violazioni dei propri database; l’obbligo di predisporre il documento di valutazione di impatto del trattamento dei dati personali (il Pia, o Privacy impact assessment); l’obbligo di elaborare un sistema documentale di gestione della privacy contenente tutti gli atti aggiornati ed elaborati per soddisfare i requisiti di conformità al Regolamento e di istituire un Registro del trattamento dei dati, nel quale siano tracciabili e documentabili tutte le operazioni di trattamento.

In quest’ottica, i principi sottesi al Gdpr saranno la liceità, il trattamento deve essere conforme alle norme di legge; la correttezza, attenzione per i diritti della persona interessata; la trasparenza, l’interessato deve essere consapevole delle modalità di trattamento; l’ aggiornamento, i dati devono essere cancellati o rettificati in base alle finalità per le quali sono trattati; l’integrità, obbligo di adottare le misure di sicurezza necessarie a proteggere i dati; la responsabilizzazione, il soggetto che gestisce i dati deve organizzarsi in modo da rispettare la normativa vigente; la necessità, le procedure devono rispettare la logica di riduzione al minimo necessario del trattamento; la finalità, i dati possono essere trattati solo nell’ambito delle finalità dichiarate e comunicate agli interessati; la minimizzazione, trattare il minor numero di dati possibile e per il minor tempo possibile.

Le misure difensive previste in ottemperanza al Gdpr dovranno essere strutturate nelle aziende sanitarie di ogni ordine, sia attraverso modelli operativi di programmazione e di formazione del personale, sia attraverso sistemi di sicurezza tecnologici.

Per quanto concerne l’esposizione al rischio, inoltre, si segnala la pratica della telemedicina, alla quale la legge Gelli fa esplicito riferimento, come possibile obbiettivo per la violazione di dati.

Altre possibili cause di violazione possono essere l’errata consegna del dato (invio elettronico del referto al destinatario sbagliato) e l’errata pubblicazione (informazioni sanitarie erroneamente diffuse sul sito internet), nonché la mancata o errata distruzione dei dati, dopo il loro uso.

Anche l’uso di device personali per registrare/copiare dati sensibili costituisce una palese violazione del Regolamento: bisognerà quindi dedicare particolare attenzione alla pratica di copiare i dati su chiavetta o laptop personali, da parte di dipendenti e operatori con l’abitudine di finire il lavoro a casa: l’insider misuse è segnalato da Clusit come una delle più comuni cause di violazione dei dati sanitari in Italia.