Dpo in Sanità, un ruolo essenziale: come sceglierlo

L’estrema complessità del sistema sanitario italiano presenta sfide tali da rendere la selezione del DPO un passaggio cruciale per la conformità e la sicurezza delle informazioni di salute, o «dati relativi alla salute», individuati dal punto 14 del primo paragrafo dell’articolo 4 del Regolamento come “ i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

Ma è il relativo Considerando C35 che dettaglia l’amplissima e dilatata portata di tale concetto.

Questo infatti specifica che nei dati personali relativi alla salute rientrano i dati “..riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione….; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Sfide e complessità nella gestione dei dati sanitari

Il DPO di un Ente sanitario deve quindi affrontare problematiche estremamente complesse legate alla gestione di dati molto particolari, il cui trattamento non solo richiede tutele rafforzate, ma che prevede una serie di sottofasi del trattamento svolte dagli addetti di una serie di servizi interni all’Ente stesso.

Comunemente i dati di salute sono poi fatti oggetto di trattamento affidato dall’Ente a soggetti esterni, come ad esempio altri ospedali, laboratori esterni, medici specialisti e altri soggetti.

In ambito sanitario infatti la designazione del DPO è un obbligo che coinvolge non solo gli Enti di maggiori dimensioni ma tutte le strutture sanitarie che, sia nella qualità di titolare o di responsabile del trattamento trattano categorie particolari di dati personali, fra i quali i dati di salute, e i soggetti terzi, come ad esempio gabinetti specialistici o analitici o piccole strutture sanitarie in convenzione o le software house o i centri servizi che supportano le attività di competenza delle strutture sanitarie di maggiori dimensioni.

Inoltre, la crescente digitalizzazione della sanità rende ancora più complessa l’attività di trattamento di dati di salute sulle cui modalità il DPO si trova a dover valutarne l’adeguatezza.

Infatti strumenti come il Fascicolo Sanitario Elettronico del cittadino, il costituendo Ecosistema nazionale dei Dati Sanitari, il nascente European Health Data Space (lo spazio europeo dei dati sanitari, che sarà il risultato del collegamento di tutti gli ecosistemi di dati sanitari nazionali, che per l’Italia significherà essere riuscita a mettere a fattor comune tutti i Fascicoli Sanitari Elettronici regionali, che sono a loro volta il frutto del collegamento di tutti i Dossier Sanitari Elettronici degli Enti sanitari locali), le piattaforme di telemedicina e le altre nuove applicazioni tecnologiche, introducono nuovi rischi e nuove responsabilità.

Misure di sicurezza e responsabilità del DPO

A tal proposito il compito del DPO è quello di garantire che le strutture sanitarie adottino misure tecniche e organizzative adeguate ad una corretta protezione dei dati e dei diritti di libertà dei cittadini (la privacy), bilanciando la necessità di accesso ai dati per finalità di cura con il diritto alla riservatezza dei pazienti.

Ciò implica la capacità di indicare all’Ente le più adeguate misure di sicurezza tecniche ed organizzative, supportando il Titolare nella gestione delle valutazioni di impatto sulla protezione dei dati (DPIA) e monitorando l’applicazione dei risultati, verificando la sicurezza delle infrastrutture informatiche e formando il personale per prevenire violazioni e garantire il rispetto delle normative.

Competenze richieste al DPO in ambito sanitario

Considerata la complessità del ruolo, per gli Enti sanitari diventa fondamentale selezionare un DPO dotato di un mix di elevate competenze tecniche, giuridiche e organizzative.

Le Direzioni aziendali devono al riguardo comprendere che il DPO non costituisce una mera figura burocratica, ma un professionista in grado di interfacciarsi efficacemente con il top management, i reparti IT, i responsabili delle risorse umane e il personale sanitario.

DPO in sanità: norme e procedure da conoscere

Un DPO qualificato per il sistema sanitario deve infatti possedere non solo una conoscenza approfondita della vigente normativa sia comunitaria che nazionale in materia di protezione dei dati, ma anche delle e delle procedure amministrative che caratterizzano lo specifico settore di riferimento e delle specificità normative del settore sanitario, quindi della copiosa serie di norme che regolano le diverse attività che prevedono il trattamento di dati per fini di diagnosi e cura, che in parte sono anche diverse a seconda della Regione o Provincia Autonoma.

Fra le norme da conoscere si trovano poi norme anche molto datate e che spesso devono essere comparate con quelle più recenti per poter fornire indicazioni utili a Titolari e Responsabili del trattamento e norme complesse da mettere in pratica senza un cambio di prassi e di approccio ai dati da parte del sistema aziendale, come per quanto riguarda i Codici di Deontologia e di Condotta per i trattamenti di dati personali per scopi didattici, statistici e scientifici.

Ma il DPO deve conoscere anche le normative sulla cybersecurity e sulle apparecchiature medicali. Inoltre, deve essere in grado di collaborare con il Garante per la protezione dei dati personali, di affrontare efficacemente eventuali ispezioni, i data breach e il contenzioso con l’utenza.

Possiamo quindi definirlo come un professionista multitasking, difficilmente inquadrabile come un mero consulente, sia di ambito legal che IT, che deve avere una preparazione altamente specialistica e settoriale, requisiti previsti dalla legge, e precisamente dal paragrafo 5 del Regolamento, che dispone ” 5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Aggiornamento costante e continuo del DPO

Ma al DPO non bastano mai le conoscenze acquisite e proprio il Regolamento prescrive che sia tenuto ad un aggiornamento costante e continuo per far fronte alle mille sfide che ne caratterizzano le attività.

Tale aggiornamento continuo è previsto dal secondo paragrafo dell’articolo 38 del Regolamento “Posizione del responsabile della protezione dei dati”, che mette a carico dell’Ente (nel sistema sanitario, o del Titolare o del Responsabile in via generale) gli oneri necessari a far sì che il DPO disponga di tutte le conoscenze necessarie a poter esercitare efficacemente il proprio ruolo.

Il suindicato paragrafo infatti recita “2. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.

È pertanto inopportuno che gli Enti sanitari scelgano come DPO un professionista non adeguato, che li può esporre a rischi significativi, tra cui sanzioni economiche, interruzioni di servizio, danni reputazionali e una ridotta fiducia da parte dei pazienti.

Per questo motivo, la selezione del DPO non dovrebbe mai essere basata esclusivamente su criteri economici, ma piuttosto su un’attenta valutazione delle competenze e dell’esperienza

Il giusto compenso del DPO come investimento strategico

Il compenso del DPO rappresenta un tema spesso dibattuto e che deve essere valutato in relazione alla complessità del sistema aziendale nel quale questi deve svolgere i compiti di informazione, consulenza, supervisione, supporto nelle valutazioni d’impatto sulla protezione dei dati (DPIA) e mediazione nei rapporti con l’Autorità Garante e con gli interessati prescritti dall’articolo 39 del Regolamento.

Se da un lato le strutture sanitarie sono sottoposte a vincoli di bilancio, dall’altro la scelta di un DPO qualificato deve essere vista come un investimento strategico piuttosto che come un mero costo perché indubbiamente un professionista adeguatamente remunerato sarà più motivato, potrà dotarsi di un proprio team e sarà in grado di garantire un servizio di alta qualità, riducendo il rischio di sanzioni e migliorando la gestione dei dati.

Determinare un compenso adeguato dipende da diversi fattori, tra cui la complessità della struttura sanitaria, il volume di dati trattati e il livello di rischio associato, è però essenziale evitare approcci al ribasso che potrebbero compromettere l’efficacia del ruolo ed è necessario e fornire, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, tutto il supporto necessario, anche attraverso un apposito ufficio.

Tale indicazione, tra l’altro, è stata proprio fornita dall’Autorità Garante Privacy, che con la sua FAQ n.5 indica che «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto»

Nel caso della scelta di un DPO interno (troppo spesso dettata da una visione limitata, orientata esclusivamente al risparmio) oltre ai requisiti di qualificazione professionale, il DPO dovrà essere posto in staff della direzione generale, unica posizione che gli conferisce la necessaria autorevolezza, ed il valore economico del suo incarico dovrà tener conto dell’elevato grado di complessità, di competenza e di responsabilità proprie della figura.

Conclusioni: protezione dei dati sanitari come sfida strategica

La protezione dei dati personali, sfida strategica per tutte le organizzazioni, richiede l’integrazione efficace di compliance normativa e gestione operativa e il DPO è un attore protagonista di tale processo.

Il suo ruolo nel settore sanitario è ancora più delicato che in altri settori e richiede un elevato livello di specializzazione.

La selezione del professionista più adatto per svolgere il ruolo del DPO non dovrebbe essere vista come una mera formalità ma come una decisione strategica per garantire la sicurezza e la conformità dei dati sanitari e la definizione del compenso adeguata.

Solo investendo nelle giuste competenze e risorse si potrà affrontare con successo la crescente e continua complessità della protezione dei dati in ambito sanitario.