Com’è noto, lo scorso 25 maggio è divenuto definitivamente applicabile il Regolamento Europeo per la protezione dei dati n. 2016/679, c.d. GDPR (General Data Protection Regulation), che impone specifici obblighi e responsabilità in capo ai soggetti che trattano dati personali, in particolare dati sanitari.
Con D.Lgs. n. 101 del 10/08/2018, il Legislatore italiano ha novellato il contenuto del Codice Privacy (D.Lgs. 196/03), uniformandolo alla normativa europea sopra citata.
Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il regolamento si torna alla concretezza.
Le pubbliche amministrazioni hanno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.
La Asl Roma 4 da sempre attenta alla tematica della tutela dei dati personali, ha avviato, pertanto, un percorso atto a verificare la rispondenza dei propri processi/strutture/organizzazioni alla nuova normativa, a predisporre azioni correttive e veicolando, nel contempo, una cultura di responsabilizzazione e rendicontazione in merito alle attività di trattamento dei dati.
Nello specifico: si è provveduto a nominare il DPO (Data Protection Officer) della ASL Roma 4; è in corso un’attività di assessment normativa, procedurale e tecnica (fotografia dello stato corrente), al fine di valutare la conformità al Regolamento ed indirizzare verso le contromisure tecniche e le politiche da adottare; è stato acquistato un SW per la predisposizione e gestione dei Registri delle attività di Trattamento; è stato costituito un Gruppo di Lavoro interno per la gestione dei casi di violazione dei dati (data breach), la cui notifica all’Autorità Garante va effettuata entro il termine perentorio di 72 ore dalla sua scoperta; è stata erogata una prima sessione formativa in aula ai Direttori/Referenti delle Strutture aziendali, cui seguiranno ulteriori incontri, anche sull’utilizzo del SW per i Registri sopra citati; sono in fase di organizzazione specifiche sessioni formative per tutti gli operatori aziendali, sia nuovi assunti che già in organico; sono stati aggiornati gli atti di nomina a Responsabile ex art. 28 GDPR, le deleghe ai Responsabili interni, le policy privacy presenti sul sito web aziendale, i riferimenti normativi in accordi, convenzioni, etc. conclusi dalla ASL con soggetti terzi; è in corso di revisione la modulistica per il rilascio delle informazioni ex art. 13 e 14 GDPR e l’acquisizione del consenso al trattamento; l’Azienda si è, altresì, dotata di un SW per la gestione dell’identità unica e protetta.
E’ prevista l’acquisizione di un SW e dispositivi mobili, al fine di fornire l’informativa al paziente ed acquisirne il consenso all’atto medico con strumenti informatici, anziché in modalità cartacea.