Sanità

nov32020

Privacy e sicurezza dati, rinnovare l'amministrazione pubblica per attuare il Gdpr

Privacy e sicurezza dati, rinnovare l’amministrazione pubblica per attuare il Gdpr

Privacy, sicurezza dati e nuovo Regolamento europeo in materia sono i temi su cui si focalizza la riflessione di Gianluca Polifrone, autore del volume "Sanità Digitale"

Privacy, sicurezza dati e nuovo Regolamento europeo in materia sono i temi su cui si focalizza la riflessione di Gianluca Polifrone, autore del volume "Sanità Digitale: la rivoluzione obbligata per un modello sanitario omogeneo, efficiente e giusto" (Edra). In particolare, secondo l'esperto, per una piena attuazione del Gdpr, "i processi organizzativi delle pubbliche amministrazioni vanno radicalmente trasformati a favore di processi organizzativi semplificati".

"Sicuramente in materia di privacy molte sono le novità introdotte dal c.d. Gdpr approvato nel maggio del 2016 e reso efficace in tutti i Paesi dell'Unione nel maggio u.s. Uno dei motivi che hanno ispirato la nascita del Gdpr, in seno all'Unione europea, è stata la necessità di offrire certezza giuridica al trasferimento di dati personali dall'Unione europea verso il resto del mondo e, nel contempo, dare più sicurezza ai cittadini europei rispetto alla tutela dei loro dati e al relativo accesso per poterne fruire liberamente. Benché il Gdpr sia stato approvato nel 2016, l'amministrazione pubblica si è fatta trovare fortemente impreparata: infatti non si è ben compreso come mai solo oggi ci si renda conto che, dal 2016 al 2018 (biennio di adeguamento), il sistema paese non ha messo in atto le azioni necessarie per assorbire adeguatamente i principi del regolamento stesso. Per la sua piena attuazione, al di là dell'avere compreso lo spirito del Gdpr, è necessaria un'amministrazione pubblica attualizzata nei suoi processi sia amministrativi sia organizzativi. Come diffusamente spiegato più avanti, la pubblica amministrazione presenta enormi deficit in termini di ammodernamento sin dall'approvazione del Decreto n. 241 del 1990 afferente alla semplificazione amministrativa, mai attuata, eccetto rari casi. Il regolamento n. 679 del 2016 (Gdpr) ha introdotto alcuni principi che potrebbero trovare piena attuazione solo in un'amministrazione pubblica totalmente rinnovata, come ad esempio porre l'accento sulla totale responsabilizzazione e autonomia del titolare del trattamento e della sicurezza dei dati personali (art. 24 Gdpr). Altro principio fortemente rivoluzionario è riferito alla protezione dei dati fin dalla loro progettazione per impostazione predefinita (Art. 25 Gdpr) unitamente al principio della registrazione che va effettuata ogni qual volta si compiono operazioni riferite al trattamento e alla protezione dei dati.
Questi principi non permettono di derogare da un approccio sostanziale e concreto e non solo "sulla carta". Se l'adempimento alla procedura fosse meramente formale, risulterebbe insufficiente a proteggere i nostri dati. Di contro un principio diffusamente consolidato nella burocrazia italiana è: l'importante è mettere a posto le carte. Questo porta con sé, nel caso di specie, una contraddizione in termini, ossia la finzione della protezione dei dati personali. Eppure, l'indirizzo della Commissione Europea, con l'approvazione del Gdpr, è quello di garantire al cittadino "il diritto" di accedere e condividere i propri dati sanitari in totale sicurezza. Oggi molti cittadini europei, italiani in primis, sono ben lontani da poter accedere completamente ai propri dati sanitari, perché poco tracciabili e spesso e volentieri non aggregati e sparsi in diverse sedi. Poniamo il caso di un cittadino italiano all'estero per esigenze di cure: quasi sicuramente non riesce ad accedere alle sue informazioni mediche per diversi motivi, uno su tutti certamente la mancanza di standardizzazione dei sistemi e delle relative cartelle cliniche da Paese a Paese. Questa situazione è presente tra le nostre Regioni, in particolar modo nel mezzogiorno, dove la disomogeneità è addirittura da Provincia a Provincia. Emerge chiaramente come il Gdpr imponga norme precise sulla protezione dei dati personali: pertanto, per una sua piena attuazione, i processi organizzativi delle pubbliche amministrazioni vanno radicalmente trasformati a favore di processi organizzativi semplificati. I deficit della pubblica amministrazione, dovuti alla mancanza di semplificazione e rivisitazione dei processi organizzativi, pongono i dati personali in una situazione di totale insicurezza. Questo accade perché gli enti non hanno evidenza della propria organizzazione ma soprattutto della propria infrastruttura documentale che supporta i processi amministrativi. Se si aggiunge la frammentaria applicazione del Codice dell'Amministrazione Digitale unitamente alla quasi assenza di implementazione di processi adeguati e digitalizzati, si comprende perché oggi le amministrazioni pubbliche continuino a essere ostinatamente analogiche piuttosto che digitali. Un'amministrazione realmente digitale si presenta trasparente, tracciabile, con una chiara infrastruttura che supporta i procedimenti documentali in modo definito.

Altra novità introdotta dal Gdpr, che nelle condizioni in cui versa la nostra pubblica amministrazione rischia di essere un altro adempimento solamente formale, è il Data Protection Officer. Andrebbe compreso che le caratteristiche di questa figura professionale, qualificata e competente, pongono maggiormente l'accento sulla responsabilità dei dirigenti, essendo loro i responsabili del trattamento e della protezione dei dati personali in quanto responsabili dell'organizzazione, delle risorse e dei procedimenti del proprio settore di competenza. Pertanto, risulta necessario che tutte le pubbliche amministrazioni, nel rivedere e recuperare i ritardi evidenti, debbano necessariamente investire su massicci piani di formazione per comprendere l'importanza del trattamento e della protezione dei dati personali. Un piano di formazione degno di questo nome consentirebbe di rivisitare l'intera organizzazione e spingerla verso processi di reale semplificazione, ammodernamento che permetterebbe di comprendere che i dati sono un patrimonio di valore infinito. Per cui in ambito sanitario, il processo di digitalizzazione pone l'imperativo assoluto alle aziende sanitarie di considerare gli aspetti legati al trattamento dei dati di salute dei pazienti processati con strumenti informatici. Poc'anzi abbiamo parlato della tutela dei dati legati all'aspetto della privacy che va distinto dall'aspetto legato alla secrecy; entrambi nel loro insieme costituiscono il c.d. computer security. Mentre il primo si riferisce generalmente alla protezione dei dati personali, il secondo, invece, riguarda invece la protezione dei dati, nel loro insieme, detenuti da una struttura sanitaria o dal Ministero della Salute. Per cui pare ovvio che la riservatezza rappresenta un punto fermo nell'ambito della sicurezza dei dati personali poiché funzione precipua è quella di impedire ai soggetti non autorizzati di accedere ai dati sensibili sanitari. Pertanto, sicurezza e protezione dei dati sono aspetti correlati e legati poiché solo un sistema in grado di garantire piena sicurezza sarà in grado di garantire la protezione dei dati dei nostri pazienti".

Gianluca Polifrone
discuti sul forum

ANNUNCI SPONSORIZZATI


Download Center

Principi e Pratica Clinica
Nicoloso B. R. - Le responsabilità del farmacista nel sistema farmacia
vai al download >>

SUL BANCO