L’entrata in vigore, il 25 maggio 2018, del nuovo Regolamento Europeo 2016/679 sulla Privacy, ha prodotto un impatto importante nella gestione e protezione dei dati per gli enti che operano nel settore sociosanitario ed assistenziale, i quali hanno a che fare con una grande quantità di dati e spesso dati sensibili, come quelli sulle condizioni di salute dei loro assistiti o ospiti.
L’evoluzione tecnologica, che ha dominato gli scenari degli ultimi anni, non ha risparmiato il settore sanitario, sollevando, in quest’ultimo, rilevanti interrogativi per quanto riguarda la protezione dei dati personali. Pur essendo indubbio l’utilità di nuovi sistemi tecnologici che ha favorito e ottimizzato la gestione dei dati sanitari del paziente, è emerso, da subito, una problematica legata alla riservatezza e alla tutela dei dati idonei a rivelare lo stato di salute: tali dati, infatti, per la loro natura “sensibile”, impongono un grado di riservatezza molto elevata.
Di tale problematiche non ha mancato di tenerne conto il nuovo Regolamento Europeo che ha introdotto il concetto di “responsabilizzazione” (accountability) del Titolare e del Responsabile del trattamento, sollecitando il primo, non solo ad adottare, ma anche a dimostrare di aver concretamente predisposto misure di sicurezza adeguate a garantire la protezione dei dati personali trattati.
Tuttavia una serie di interrogativi si sollevano in campo sociosanitario ed assistenziale fin dalla ricezione della domanda di ricovero di un ospite nella struttura:
- Per la tipologia di urgenza che spesso accompagna la richiesta da parte dei parenti o degli assistenti sociali di un ricovero post-ospedaliero di pazienti in condizioni critiche o che comunque non possono essere assistiti a casa, non è raro che vengano inviate domande di ricovero contenenti informazione sullo stato di salute del paziente stesso. Come si può sapere se è stato richiesto e raccolto il consenso alla diffusione di tali dati?
- Nel caso il paziente di cui si richiede il ricovero non è in grado, per il suo stato di salute di firmare, chi è titolato a firmare per conto dello stesso?
- Se una persona nega il consenso al trattamento dei dati ne consegue l’impossibilità ad accoglierlo nella struttura; ma se il consenso viene negato una volta che l’ospite è già stato accolto, cosa si fa?
In attesa che il tempo faccia chiarezza su questi interrogativi, quattro sono i passi fondamentali da seguire già a partire dal 25 maggio 2018 per poi continuare procedendo all’individuazione di misure tecniche ed organizzative così da adeguarsi al nuovo Regolamento Europeo, evitando sanzioni pesanti:
- Nomina del DPO (Data Protection Officer) ove obbligatorio o comunque ove l’Ente ritenesse necessario nominarlo (art.37 del GDPR);
- Redigere il Registro dei Trattamenti dei Dati in base a quanto previsto dall’art.30 del GDPR;
- Predisporre una procedura per gestire i Data Breach (in caso di violazione dei dati personali);
- Formazione del personale.
Scarica esempio trattamenti casa di riposo per il software privacy
Potrebbe interessarti: |
Privacy e PMI GDPR 2018 |
Trattamenti comuni ed enti locali |