I requisiti della legge Gelli alla luce del Gdpr

Sotto il profilo della sicurezza informatica, la formazione riveste un ruolo fondamentale nella gestione della privacy. Già gli artt. 33 e 35 del Codice della Privacy prevedono che il trattamento dei dati personali possa essere effettuato solo a condizione che il personale sia stato adeguatamente istruito. Ora è certo che il grado di formazione debba essere adeguato alla tipologia dei dati trattati e l’omissione di un’adeguata formazione e istruzione di tutti gli incaricati del trattamento costituirà a tutti gli effetti un’omissione di misure minime di sicurezza.

L’importanza di un adeguato training di tutti gli operatori sanitari è anche dettata dal fatto che in quest’ambito le attività che prevedono l’uso di dati personali sono piuttosto diffuse e vengono effettuate a tutti i livelli. Quasi ogni operatore, di fatto, può trovarsi nella necessità di interfacciarsi col paziente, e in questo caso assume un ruolo chiave la qualità delle comunicazioni fornite all’interessato.

Il trattamento di dati personali, soprattutto se sanitari, è infatti considerato lecito solo previa informativa e consenso dell’interessato. Il Regolamento prevede inoltre che il consenso prestato in sanità debba avvenire per mezzo di una dichiarazione inequivocabile ed esplicita. Tale consenso può essere revocato in ogni momento e vi è obbligo di informazione preventiva proprio sulla sua revocabilità.

L’articolo 9 del Gdpr, relativo al trattamento dei dati particolari (tra cui i genetici, i biometrici e quelli relativi alla salute), prevede tuttavia che non sia necessario il consenso “per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. 

Viene però lasciata agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”. V’era quindi il dubbio che il legislatore italiano intendesse confermare la necessità di un consenso scritto per i dati sanitari, come tuttora previsto dal Codice della Privacy.

L’articolo 8 della bozza del decreto di recepimento ancora in lavorazione, intitolato Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, prevede che il trattamento di queste particolari categorie di dati sia subordinato all’osservanza di misure di garanzia, stabilite dal Garante per la protezione dei dati personali, con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. 

Nell’adozione del provvedimento il Garante dovrà tenere in considerazione, oltre alle linee guida e raccomandazioni pubblicate dal Comitato europeo per la protezione dei dati, anche l’evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte, nonché l’interesse alla libera circolazione dei dati nel territorio europeo. Le misure di garanzia dovranno perciò essere adottate tenendo in considerazione le specifiche finalità di trattamento, ed è possibile che non sia più necessario il consenso del paziente per il trattamento dei suoi dati ai meri fini di diagnosi e cura.

La questione è assai rilevante, dal momento che i Titolari e Responsabili del trattamento presso le strutture sanitarie, nonché i relativi Dpo, dovranno misurarsi con l’obbligo di gestire e proteggere nel migliore dei modi una serie di documenti particolari che caratterizzano l’attività del comparto e che assumono un’importanza centrale nell’era della cosiddetta Sanità elettronica o digitalizzata, quali il Fascicolo sanitario elettronico (Fse), il Dossier sanitario, la Cartella clinica elettronica (Cce) e il Referto on line.

Come si è detto, i dati sanitari (o Phi - Protected health information) costituiscono un materiale estremamente delicato. C’è inoltre da rilevare come gli stessi rappresentino una vera miniera d’oro per i cyber criminali, che li rivendono sul mercato nero per favorire frodi o altre attività criminose. Per tale motivo le attività di ransomware (frode informatica effettuata con lo scopo di ricavarne un riscatto) rappresentano un problema particolare nel settore sanitario, specialmente perché il danneggiamento dei sistemi informatici di una clinica può avere un drammatico impatto anche sul piano reputazionale. 

Secondo il primo Verizon protected health information data breach report, pubblicato dal colosso americano della comunicazione, ben 18 aziende sanitarie su 20 sono state interessate da furti di dati personali. Le violazioni confermate hanno coinvolto oltre 392 milioni di record in 1.931 incidenti occorsi in 25 nazioni differenti, incluse alcune europee, come la Germania. In seguito a tale escalation l’Fbi ha diffuso un allarme per gli operatori sanitari, evidenziando la possibilità di un incremento delle intrusioni informatiche in tale settore. In realtà, come si evince dalla tabella qui sotto riportata, il segmento sanitario mantiene da tempo il primato in termini di violazioni subite: non desta alcuna meraviglia, quindi, che il nuovo Regolamento europeo attribuisca tanta importanza alla protezione di dati così sensibili.

Riassumendo, l’avvento del Gdpr comporta specifici adempimenti per i quali l’azienda, in particolar modo quella sanitaria, è responsabile, che esulano dalla semplice adeguatezza dei sistemi informatici, ed esigono che venga attuata una nuova organizzazione, improntata al rispetto del Regolamento. 

Al di là delle sanzioni molto cospicue previste in caso di inadempienza, i danni subiti dalle strutture possono essere ingenti, sia sul piano diretto che reputazionale, e possono comportare esposizioni anche molto gravi a livello di responsabilità verso terzi. Chiunque subisca un danno materiale o immateriale causato dalla violazione del Regolamento, ha infatti diritto di ottenerne il risarcimento dal Titolare e dal Responsabile del trattamento, individuati espressamente quali responsabili anche ai fini risarcitori. Se dovessero essere coinvolti entrambi, la responsabilità opererà in solido, salva l’eventuale azione di regresso.

Come si è detto, inoltre, sul piano amministrativo il Garante potrà poi infliggere elevate sanzioni pecuniarie agli autori delle violazioni (fino a 20 milioni di euro per i privati e per le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato complessivo per i gruppi societari). Oltre a ciò egli avrà il potere di emanare misure interdittive, come limitazioni provvisorie o definitive al trattamento, fino alla revoca delle autorizzazioni. In ambito sanitario ciò potrebbe facilmente  comportare la cessazione dell’attività svolta.