DPO-ambito-sanitario

Tra i ruoli di maggior rilevanza per il rispetto della normativa sulla protezione dei dati personali e per la tutela dei diritti degli Interessati emerge quello rivestito dal Responsabile della Protezione dei Dati (o Data Protection Officer – DPO).

Il Regolamento Generale per la Protezione dei Dati Personali (GDPR – Reg. 2016/679/UE), che per la prima volta ha introdotto la figura del DPO, disciplina gli innumerevoli aspetti legati alla sua nomina, alla sua posizione nel tessuto aziendale, alle attività che è chiamato a svolgere, e così via.

L’art. 37, par. 1, GDPR elenca i casi in cui il Titolare del trattamento e il Responsabile del trattamento sono obbligati alla nomina del DPO:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali;
  • il trattamento richiede, per sua natura, ambito di applicazione e/o finalità, il monitoraggio regolare e sistematico degli Interessati, su larga scala;
  • il trattamento coinvolge, su larga scala, categorie particolari di dati personali ex art. 9 GDPR ovvero dati giudiziari di cui all’art. 10 GDPR

L’obbligo di nomina del DPO nel settore sanitario

Il settore sanitario rappresenta uno degli ambiti in cui la nomina del DPO è fondamentale. Analizziamo di seguito i due ordini di motivazione che sottostanno all’obbligo di designazione in parola.

In primo luogo, è necessario ricordare che i trattamenti di dati in ambito sanitario devono compiersi in modo da garantire assoluta riservatezza e il maggior rispetto della dignità degli Interessati; gli stessi sono giustificati dal perseguimento di finalità di cura e di archiviazione, nonché dalla soddisfazione di motivi di pubblico interesse secondo il Diritto degli Stati Membri e nel settore della sanità pubblica. Tra i trattamenti rilevanti ricomprendiamo quelli inerenti i dati personali processati nel corso delle cure, nell’erogazione di prestazioni mediche, in sede di acquisto di farmaci e medicine ovvero durante lo svolgimento delle relative attività amministrative.

In seconda battuta, cerchiamo di individuare, alla luce della normativa, i riferimenti da cui emerge chiaramente e con maggiore concretezza l’obbligo di nomina del DPO in ambito sanitario. Di seguito possiamo elencare le due casistiche principali:

  • per quanto riguarda le strutture sanitarie e gli ospedali pubblici e/o accreditati, Titolari o Responsabili del trattamento, sussiste l’obbligo di designazione del DPO: si tratta di enti che presentano le caratteristiche individuate alla lett. a) dell’art. 37, par. 1, GDPR, infatti, sono organismi pubblici – differenti dalle autorità giurisdizionali – che effettuano trattamenti di dati personali.

L’obbligo di nomina, in questo caso, è sostenuto anche dal requisito di cui alla lett. c) del medesimo articolo poiché le strutture sanitarie e gli ospedali pubblici effettuano trattamenti di categorie particolari di dati ex art. 9 GDPR su larga scala;

  • relativamente alle strutture sanitarie e agli ospedali in ambito privato, invece, l’obbligo di designazione del DPO sussiste per il solo motivo di cui all’art. 37, par. 1, lett. c) GDPR; pertanto, il Titolare o il Responsabile che svolge, trattamenti di particolari categorie di dati personali (dati sanitari e attinenti allo stato di salute dell’Interessato) ex art. 9 GDPR, è obbligato a nominare un DPO.

In ambito privato, rientrano nell’obbligo anche tutte quelle Aziende che forniscono attività e servizi alle strutture sanitarie, qualora trattino sistematicamente anche particolari categorie di dati personali.

Inoltre, il considerando 91, ultimo periodo, del GDPR sottolinea che NON sono obbligati a effettuare una valutazione di impatto sulla protezione dei dati i liberi professionisti sanitari che operano a titolo individuale, le farmacie e parafarmacie, le aziende ortopediche, trattandosi di soggetti che non effettuano trattamenti di dati su larga scala: per questo motivo, e per interpretazione, l’assenza del discrimine di “larga scala”, escluderebbe questi soggetti anche dall’obbligo di nomina del DPO.

Il DPO nominato in ambito sanitario, dunque, assolve formalmente alla sua funzione di garanzia in contesti che vedono il trattamento su larga scala di dati personali, di natura anche particolare, per specifiche e tassative finalità: ma non si tratta di un mero obbligo legale e formale, pur se il mancato adempimento comporti – ex art. 83, par. 4, GDPR – l’irrogazione di una sanzione amministrativa pecuniaria fino a 10 000 000 Euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La garanzia incarnata dal DPO è completa solo se colta anche nei suoi lati più materiali e sostanziali: per questo motivo, un aspetto fondamentale da approfondire in tal sede riguarda le competenze, i compiti e le attività che il Responsabile per la Protezione dei Dati è chiamato ad assolvere proprio in questo contesto.

I compiti del DPO in ambito sanitario

Approfondiamo innanzitutto i compiti in generale che il Regolamento Europeo attribuisce al DPO. La norma di riferimento è l’art. 39, par. 1, GDPR che li elenca come segue:

  • informare e fornire consulenza al Titolare, al Responsabile e agli Incaricati dei dati in merito agli obblighi cui adempiere nello svolgimento delle attività di trattamento;
  • sorvegliare l’osservanza del GDPR e dell’intera normativa privacy, assicurando la compliance normativa dell’azienda;
  • fornire un pare in merito alla valutazione di impatto (DPIA) e al suo svolgimento;
  • cooperare con l’Autorità di controllo (alias il Garante per la Protezione dei Dati Personali);
  • fungere da interfaccia ufficiale tra l’Autorità di controllo e il Titolare/Responsabile per tutte le questioni inerenti i trattamenti di dati effettuati.

I compiti qui menzionati, in termini generali, sottintendono il requisito fondamentale del profilo: la professionalità. Il DPO, infatti, deve essere una figura di alto livello (può essere interna o esterna all’Organizzazione) chiamata a fornire assistenza al Titolare e al Responsabile del trattamento, attraverso consigli, soluzioni, pareri, atti, pratiche, il proprio know-how e competenze, e le sue attività impattano direttamente sulla sicurezza dei processi e sulla compliance.

Al par. 2 dell’art. 39 GDPR sono poi individuati gli elementi che generalmente guidano il DPO nello svolgimento dei suoi compiti: natura, ambito di applicazione, contesto e finalità. Alla luce di questi elementi, cerchiamo di comprendere con maggior dettaglio il ruolo e i compiti specifici del DPO nel settore sanitario.

Dell’elenco soprariportato, la nostra attenzione deve focalizzarsi principalmente sulla voce “sorvegliare l’osservanza del GDPR e dell’intera normativa privacy, assicurando la compliance normativa dell’azienda”. Si deduce che, soprattutto nell’ambito sanitario, il Responsabile della Protezione dei Dati deve svolgere i propri compiti a garanzia dell’effettiva compliance aziendale sorvegliando la corretta applicazione della normativa privacy e delle specifiche normative di settore.

Sorveglianza del DPO sulla gestione dei dati e dei documenti

In termini generali, l’attività del DPO in ambito sanitario deve necessariamente essere orientata a vigilare che l’Organizzazione (l’ospedale, il laboratorio di analisi o diagnostico, la clinica, ovvero le Regioni) tratti correttamente i dati particolari contenuti all’interno della documentazione, in formato cartaceo e digitale, garantendo in assoluto la riservatezza di ciascun paziente, ospite, utente “di passaggio” Interessato.

Per questo motivo, il DPO deve conoscere e approfondire tutti i meccanismi che coinvolgono dati e documenti. Approfondiamo di seguito i principali:

  • controllo dei flussi;
  • controllo e ripartizione degli accessi;
  • elaborazione della cartella clinica;
  • corretto caricamento dei dati e dei documenti all’interno del Fascicolo Sanitario Elettronico.

Controllo dei flussi

I dati personali (identificativi, di contatto, contabili) e particolari degli Interessati, in ambito sanitario, sono oggetto di innumerevoli flussi tra i diversi protagonisti e agenti privacy (Titolare, Responsabili, Incaricati e Interessato); per questo motivo, l’attività di sorveglianza, svolta dal DPO allo scopo di guidare l’Organizzazione verso la privacy compliance richiesta dal Regolamento,  si concretizza in attività di mappatura del flusso di dati, di supporto nella redazione del registro dei trattamenti ex art. 30 GDPR, di valutazione dei rischi attinenti la sicurezza delle informazioni e, se necessario, di redazione di una DPIA specifica per determinati trattamenti.

Un approfondimento interessante riguarda le attività di refertazione e il relativo flusso di dati e documenti che li contengono (categorie, formato, metodo di trasmissione, destinatari): il DPO deve verificare gli aspetti riguardanti le modalità di rilascio dei referti di laboratorio relativi alle analisi cui si è sottoposto il paziente, in particolare terrà conto:

  • del formato di rilascio dei dati e dei documenti;
  • dell’esistenza di differenti procedure e canali di comunicazione a seconda del formato cartaceo o digitale;
  • del soggetto cui è rilasciato il referto (l’Interessato o un suo delegato);
  • della predisposizione, la consegna e la sottoscrizione di un’informativa specifica per il ritiro dei referti.

Esistono altre tipologie di flussi che il DPO deve analizzare; si pensi ai flussi relativi alle prestazioni ambulatoriali. In questo caso, il Responsabile per la Protezione dei Dati è tenuto ad approfondire:

  • le modalità di trattamento dei dati personali e particolari (prescrizioni e quesiti diagnostici, eventuali esenzioni) dell’Interessato;
  • i canali di trasmissione dei dati personali tra l’Organizzazione e la Regione, qualora quest’ultima abbia sostenuto il costo della prestazione erogata;
  • le questioni riguardanti le piattaforme e i portali utilizzati per la trasmissione dei dati (portale utilizzato, misure di sicurezza, controllo degli accessi, l’eventuale trasferimento dei dati al di fuori dello Spazio Economico Europeo).

Si pensi al caso in cui il personale invii referti, diagnosi e immagini via WhatsApp ai pazienti o ai loro delegati. L’ipotesi descrive un comportamento scorretto, necessariamente migliorabile: il DPO, una volta accertata tale pratica, è chiamato a suggerire le soluzioni più idonee a garantire – sotto il profilo sostanziale – la compliance normativa dell’Ente. Per esempio si può ipotizzare l’upload del documento in una apposita sezione del sito web accessibile al solo Interessato mediante credenziali personalizzate e appositamente assegnate per il ritiro. Sotto il profilo formale, il DPO dovrebbe suggerire la predisposizione e l’implementazione di procedure ad hoc.

Controllo e ripartizione degli accessi

Il DPO deve verificare che l’accesso ai dati di ciascun paziente, da parte dell’Organizzazione, sia controllato e limitato ai soli dati necessari per lo svolgimento delle attività svolte da ciascun Incaricato al trattamento dei dati, secondo le funzioni attribuite all’ ufficio ovvero al reparto di riferimento; ad esempio, l’amministrativo non deve accedere a dati particolari ovvero a immagini del paziente, salvo quelli necessari alle attività di fatturazione e di gestione degli spazi disponibili. Non solo, anche i dati relativi allo stato di salute del paziente non devono essere accessibili da un reparto all’altro, salvo che la comunicazione e il trattamento degli stessi favorisca una migliore e completa realizzazione delle finalità di cura e/o assistenza.

Elaborazione della cartella clinica

Considerata la sensibilità dei dati trattati presso gli Enti ospedalieri e sociosanitari, il DPO deve monitorare la corretta elaborazione della cartella clinica, cioè di quel documento complessivo che descrive l’andamento di un singolo processo di presa in carico e assistenza del paziente, dal verbale di Pronto Soccorso fino alla lettera di dimissioni. In questa circostanza, l’attività del DPO è duplice:

  • in primis, il DPO deve valutare la conformità della cartella clinica e dei documenti che vi afferiscono, limitatamente ai dati contenuti, rispetto ai principi di correttezza, minimizzazione, esattezza, costituendo la stessa un documento di rilevanza medica e legale e di valore probatorio;
  • in secondo luogo, il DPO deve controllare le modalità di gestione della cartella clinica, prestando specifica attenzione alle modalità di redazione e di conservazione della stessa.

Caricamento dati all’interno del FSE

Infine, il DPO deve verificare che tutti i dati e i documenti che contengono i dati dei pazienti, degli assistiti e degli utenti “di passaggio” siano correttamente caricati all’interno del Fascicolo Sanitario Elettronico da parte dei soggetti preposti alla sua alimentazione, alla luce delle regole introdotte dalla recente riforma sul FSE 2.0., avvenuta con D.M. 7 settembre 2023.

Il DPO, che oggi si occupa pienamente di questa verifica, oltre alle conoscenze e alle competenze precedentemente citate, dimostra la propria tensione al costante aggiornamento nelle materie che maggiormente si legano alla legge privacy e alla protezione dei dati personali.

Considerazioni finali

Il rilievo della figura del DPO in ambito sanitario e ospedaliero è sottolineato da motivazioni di carattere formale e sostanziale: l’Organizzazione che sceglie di incaricare un simile professionista (interno o esterno) può raggiungere livelli elevati di aderenza alla normativa (alla luce del principio di accountability), specialmente qualora si affidi ad un profilo che vanti conoscenze e competenze normative, tecnologiche e informatiche ampie e consolidate, insieme ad una notevole esperienza nelle materie della privacy e della protezione dei dati, ed una certa consapevolezza del funzionamento e delle dinamiche del sistema sanitario.

La scelta del DPO è fondamentale in un settore tanto delicato e costituisce il primo step per lo sviluppo di una cultura aziendale sensibile ai temi della tutela della salute, dei diritti e delle libertà fondamentali degli Interessati (pazienti, assistiti e ospiti) i cui dati particolari sono costantemente processati per l’erogazione dei servizi.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!