Il 25 maggio 2018 entra in vigore il nuovo Regolamento Europeo sulla Privacy (Regolamento 2016/679, in sigla GDPR) che ridefinisce le regole per la gestione dei dati, ed ha quindi un impatto importante per gli enti del settore sociosanitario ed assistenziale, come gli enti Uneba, che di dati ne maneggiano tanti, per tutti i loro assistiti o ospiti, e spesso hanno a che fare anche con dati sensibili, come quelli sulle condizioni di salute.
Cosa cambia per gli enti Uneba con il GDPR? Cosa devono fare?Dà risposte e indicazioni, in questa intervista, Roberto De Capitani (nella foto), presidente di Uneba Lecco, referente del Gruppo Tecnico Privacy di Uneba Lecco, che per conto di Uneba Lombardia ha analizzato come aiutare gli Enti associati nel difficile compito di verificare la propria “compliance” al GDPR. Il Gruppo ha realizzato della documentazione per gli enti, che nei prossimi
giorni metteremo a disposizione degli enti associati Uneba su www.uneba.org
QUATTRO PASSI SUBITO – Il Regolamento entra in vigore il 25 maggio 2018. Significa che per allora devo già avere tutto pronto?
Innanzitutto – risponde Roberto De Capitani – bisogna tenere presente che diversi adempimenti erano richiesti già dal decreto legislativo 196/2003.
In sintesi bisognerà attuare almeno quattro cose, per poi proseguire con l’adeguamento al nuovo Regolamento, con misure tecniche ed organizzative:
1. Nominare (ove necessario) il DPO (Data Protection Officer. in italiano Responsabile della Protezione dei Dati, ovvero RPD). Questo primo punto è già controverso, perché la norma non è chiara: mentre è pacifico che la nomina è obbligatoria per la pubblica amministrazione, nell’ambito privato è obbligatorio in alcuni casi, ma si discute su alcune terminologie non chiare, perché se da un lato parrebbe obbligatorio ove sussista un trattamento di dati sulla salute, dall’altra le specificazioni dei punti b) e c) dell’art.37 del GDPR sono un po’ ambigue e necessitano di essere approfondite. Non è chiarito l’ordine di grandezza relativo a “monitoraggio regolare e sistematico degli interessati su larga scala”, e “trattamento su larga scala di categorie particolari di dati”, tra cui quelli sulla salute. Questo vale allo stesso modo per la Valutazione di Impatto sulla Protezione dei Dati (articolo 35 del GDPR), per analogia di definizioni.
In ogni caso, nelle more di un atteso chiarimento sulla corretta lettura della norma, qualora un Ente dovesse decidere di non nominare il DPO, dovrebbe adottare una delibera ben formulata e ragionata sul perché non ritiene di rientrare nei casi previsti (ad esempio, percentuale di casi trattati rispetto alla popolazione di riferimento, o altri criteri). Questo potrebbe evitare una pesante sanzione da parte del Garante, il quale, non pervenendogli la nomina entro il 25 maggio, potrebbe avere un diverso parere su questo ed inviare ispettori (Guardia di Finanza). In presenza di una delibera motivata, eventuali controllori potrebbero ritenerla fondata o chiedere di adeguarsi alla norma in breve tempo, ma non dovrebbero elevare le pesanti sanzioni previste. E’ comunque facoltà dell’Ente scegliere di nominare comunque un DPO, anche se non obbligato.
2) Redigere il Registro dei Trattamenti dei Dati, con tutti i criteri definiti all’art. 30 del GDPR.
3) Redigere una procedura di Data Breach (cosa fare in caso di violazione dei dati personali e come porvi rimedio, compresa anche l’eventuale notifica al Garante).
4) Istruire/formare il personale (almeno avere iniziato a farlo).
UNA NUOVA CULTURA DEI DATI – Il Gdpr si applica a tutti, ma quali sono le particolarità per gli enti dell’ambito assistenziale, educativo, sanitario come quelli Uneba e i nodi più delicati o i problemi maggiori che gli Enti potrebbero trovare?
Un aspetto sicuramente nuovo che chiederà un cambio culturale è che i dati dovranno avere la stessa cura che viene riservata alla persona. Questo cambia radicalmente il metodo di approccio alla riservatezza dei dati.
Esagero l’immagine per dare l’idea: se prima del GDPR perdevo un dato, avevo perso una cosa di proprietà dell’ospite. Oggi, se mi viene sottratto un dato di salute, è come se mi avessero rapito l’ospite stesso…
Invece la maggior parte dei problemi del nostro settore sono quelli di sempre, e purtroppo non hanno trovato una soluzione nel nuovo Regolamento.
1. Già fin dalla ricezione della domanda di ricovero, ancora prima di accogliere un ospite, nascono i primi problemi. Nel nostro settore l’urgenza è all’ordine del giorno: da parte dei parenti o degli assistenti sociali si cerca disperatamente un posto per il ricovero post-ospedaliero dei pazienti in condizioni critiche che non può essere assistito a casa, ed è diffusa la prassi di spedire domande di ricovero (spesso solo la parte sanitaria) un po’ ovunque e con ogni mezzo (fax, mail, cartaceo portato di persona). Come possiamo sapere in che modo – e se – è stato richiesto il consenso alla diffusione di tali dati?
2. Chi è titolato a firmare se la persona non è in grado? (è tutto il tema degli Amministratori di Sostegno a volte negati da alcuni Tribunali, e non solo per la privacy, ma anche per le contenzioni o gli atti medici…). All’annoso problema si aggiunge ora l’aggravio delle sanzioni.
3. Se una persona nega il consenso al trattamento dei dati, ne discende che, per la nostra tipologia di servizio, non possiamo accoglierla. Ma se poi nega il consenso una volta accolta dentro la struttura, cosa si fa?
4- Concetti come portabilità dei dati o cessazione del trattamento alla cessazione del rapporto o quando la persona decede, contrastano con le norme sulla conservazione illimitata dei dati sanitari.
C’E’ TANTO DA FARE – E’ possibile stimare quante ore di lavoro possono servire per il primo adeguamento al Gdpr (e di conseguenza quanti costi)?
Qualcuno parla di “bagno di sangue”... Il costo del primo adeguamento, come sempre, sarà elevato (incarichi, consulenze, revisione dei sistemi, ore di formazione, ore da dedicare alla redazione di documenti ed informative, modifiche ai contratti, costi di stampa, revisione della carta dei servizi, nuove procedure). Non saprei dire una cifra, certo sarà da tutto da rapportare alla grandezza e complessità dell’Ente.
Ma forse questo, tutto sommato, sarà poco o niente rispetto al mantenimento del sistema (al quale dovremmo già essere un po’ abituati per le precedenti leggi italiane ultima la 196/2003 con le misure minime)…
Il problema sorge se lo prendiamo “sottogamba”. Le sanzioni sono veramente stratosferiche, e per molti piccoli Enti porterebbero alla chiusura. Meglio prevenire che curare, dicono…
Sicuramente Il nuovo Regolamento creerà nuovo lavoro, in termini di consulenze, di figure professionali specialistiche, di formatori, di avvocati che dovranno seguire le controversie, di invecchiamento e sostituzione più frequenti di apparecchiature e sistemi informatici, di nuovi software ideati per la privacy “by design” o “by default”, ma soprattutto, trattandosi di un processo sempre in evoluzione, di un monitoraggio sempre costante nel tempo. Si può forse ipotizzare un costo?
Un consiglio che mi sento di dare è quello di vagliare attentamente ogni passo: meglio avere prima consapevolezza di ciò che si fa invece di cedere alla premura, che fa compiere scelte sbagliate. E’ meglio una tecnologia costosa ma all’avanguardia che un acquisto al supermercato che non dà garanzie…
Il nostro Gruppo tecnico costituito per l’esame di queste tematiche, senza volersi sostituire agli esperti, ha cercato di predisporre degli strumenti pratici per aiutare i nostri associati nel redigere la fotografia della propria organizzazione, comunque necessaria per fornirla ad eventuali consulenti, ma anche per maturare una consapevolezza del proprio grado di “compliance”.
Questo materiale sarà a breve disponibile nell’area riservata del sito Uneba.
DATI DI BAMBINI Il mio ente lavora con minori, per i cui dati personali è prevista una speciale protezione. Ho degli adempimenti diversi o maggiori con il nuovo GDPR?
Ha gli stessi adempimenti di chi tratta dati sensibili, perché anche i dati giudiziari (eventuali provvedimenti del Tribunale dei Minori, nomine di tutori e amministratori di sostegno) sono dati sensibili e perciò vanno tutelati con la stessa cura.
Diversa invece è la titolarità dei consensi, riservata ai genitori o i tutori, per minori al di sotto dei 16 anni o di altra età non inferiore ai 13 anni, stabilita dallo Stato membro (art. 8 del GDPR).
FUNDRAISING E PRIVACY Il mio ente fa anche raccolta fondi, e quindi abbiamo tanti dati di donatori: email, recapiti, ammontare delle donazioni… Come devo gestire questi dati?
L’ente dovrà valutare se il fatto di ricevere del denaro da un donatore possa configurare una certa opinione politica, o convinzioni religiose o filosofiche, o altro di simile, per capire se applicare le misure per i soli dati personali o quelle più cogenti per i dati sensibili. In ogni caso i dati vanno protetti, solo si può configurare un danno diverso (ed una diversa sanzione) in caso di perdita.
ALTRI HANNO I NOSTRI DATI Dei professionisti esterni ci supportano nella comunicazione e nella raccolta fondi, e quindi detengono alcuni nostri dati su loro supporti. Cosa dobbiamo chiedere loro?
Tutte le realtà che lavorano per noi e trattano dati per noi, devono essere nominate Responsabili Esterni e garantire idonee misure tecniche e organizzative, oltre ad incaricare e formare eventuali dipendenti. Se invece i dati sono su nostri supporti, vanno solo incaricati, come nostri i dipendenti.
TANTE SEDI, COSA FACCIO? Il mio ente ha più sedi, autonome per alcune attività e alcune gestioni di dati, ma altre attività sono gestite dalla sede amministrativa centrale. Come devo organizzarmi? Fare una documentazione diversa per ogni ente o una unica?
Un gruppo imprenditoriale può nominare un unico DPO. Per il resto non esistono specifiche particolari, fatto salvo il caso in cui una sede sia fuori dall’UE, mentre il trasferimento di dati personali all’interno del gruppo imprenditoriale è un interesse legittimo. Sarà da valutare l’opportunità di tenere separate alcune differenze specifiche per una gestione migliore delle misure di sicurezza. La scelta potrà essere fatta con l’eventuale DPO.
DATI SUL CLOUD Ho un archivio di dati su Google Drive o Dropbox o altri sistemi di cloud. In che modo si applicano le regole del GDPR?
Quando mando i dati al di fuori della mia sede devo farlo con cognizione di causa. Una banca dati esterna gestita da grandi gruppi, in genere è meglio protetta, ma non offre la certezza che i nostri dati sensibili non vengano trattati per fini diversi da quelli per cui abbiamo avuto il consenso (profilazione o altro… fa scuola il recente caso Facebook /elezioni americane). E’ certo che una banca dati così enorme è più appetibile dagli hacker. Un problema ulteriore si genera qualora i server si trovano fuori ambito UE. Un buon esperto di sicurezza informatica può indirizzare verso le soluzioni al momento più sicure.
Ma attenzione anche alle mail: alcuni gestori, al momento della creazione dell’account, dichiarano che andranno a leggere la nostra posta… Facciamo anche un pensiero a cosa trasmettiamo via mail e se effettuiamo dei backup…
CHI MI AIUTA? Devo scegliere un Data Protection Officer. In base a che criterio mi consigliate di sceglierlo? Cosa devo guardare del suo curriculum?
Il Garante sta effettuando corsi specifici da 160 ore ed esiste un Registro dei DPO formati/certificati, che man mano si amplierà. Pescare fuori da questi elenchi ad oggi è quantomeno rischioso, perché potrebbe rivelarsi una nomina nulla.
COSA METTO SUL SITO Oltre al nome e ai recapiti del DPO, c’è qualche altro dato che devo per forza pubblicare sul sito del mio ente?
Se è un Ente pubblico soggiace agli obblighi di trasparenza stabiliti dallo Stato. Nel caso di un Ente privato (in ogni caso potrebbe anche non avere un proprio sito), è obbligatorio nelle informative mettere l’identità ed il contatto del titolare del trattamento e del suo eventuale rappresentante (la persona fisica), del DPO ove applicabile. Se l’Ente sceglie di pubblicare le informative sul sito deve comunque citare queste figure.
#gdpr #privacy Le difficoltà che restano per case di riposo, #rsa e altre strutture sociosanitarie: https://t.co/tzJegdYMEZ Intervista a Roberto De Capitani di Uneba #Lecco pic.twitter.com/mQVIYNCtfW
— Uneba (@unebanazionale) 6 aprile 2018
4 Comments
Gestiamo una casa protetta, con alloggi assistiti e Centro diurno.
se potete tenerci informati sul regolamento da redigere e le incombenze relative ci fareste un grande favore, dandoci anche la possibilità di accedere all’area riservata.
La ns struttura é a disposizione per chiarimenti e realtive informazioni sulla ns esperienza.
Pietro Montanari
Buongiorno,
notifica al Garante.
Le RSA non sono presenti nel registro delle Notifiche del Garante.
A mio modesto pare risulta però;
A) Oggetto: risposta a quesiti sui trattamenti in ambito sanitario da notificare al Garante. 26 aprile 2004 1. (art. 37, comma 1, lett. a) e b)). Dati genetici e biometrici ; In ogni caso, l’esonero non opera, poi, per i trattamenti di dati genetici o biometrici effettuati da strutture sanitarie, pubbliche o private (quali ospedali, case di cura o di riposo, centri di riabilitazione, ambulatori polispecialistici, laboratori di analisi cliniche e diagnostica per immagini, studi fisioterapici, aziende sanitarie, istituti clinici privati, associazioni sportive), essendo stato disposto solo in favore di persone fisiche esercenti le professioni sanitarie, anziché per i trattamenti dei dati genetici o biometrici in quanto tali.
B) 3. Prestazione di servizi sanitari per via telematica (art. 37, comma 1, lett. b)).
n quest’ultimo ambito sono invece da notificare: i trattamenti nei quali ricorre la doppia condizione della prestazione del servizio sanitario per via telematica e dell’utilizzazione di una banca dati (o della fornitura di un bene), come ad esempio nel caso di insiemi di schede sanitarie organizzate in una banca dati accessibile a diversi soggetti, e consultata in rete telematica al momento della prestazione del servizio, oppure di cartelle cliniche rese accessibili on-line a strutture sanitarie e all’interessato ovunque questi si trovi nel mondo; i trattamenti effettuati non in forma associata nei termini indicati, ma da un soggetto associativo distinto dai professionisti che pure vi aderiscono. In questo caso, come in quello relativo ad eventuali sistemi informativi gestiti da aa.ss.ll. o da enti territoriali cui i professionisti abbiano accesso, la notificazione va effettuata dal soggetto associativo o dall’ente i quali assumono la qualità di titolare del trattamento, effettuando le scelte di fondo che competono a tale figura.
Per i Punti A e B non capisco come mai le case di riposo RSA non fanno la notifica al garante.
Grazie per la Vs. Attenzione
Salve,mi chiamo Sara Ariu e faccio parte di una piccola coop che gestisce una comunità alloggio per anziani autosufficenti o parzialmente autosufficenti.Ospitiamo 7 utenti residenziali e forniamo anche un servizio diurno.
Sarei molto grata se potreste dirmi se anche noi dobbiamo adeguarci al G.D.P.R.
Grazie mille
Buongiorno,trova qui https://www.uneba.org/tag/gdpr/ tutto il materiale pubblicato sul sito Uneba, a beneficio degli enti associati, sul Gdpr.