In vigore dal 15 giugno 2016 il Regolamento (UE) 2016/679; vediamo di seguito alcuni dei punti più rilevanti de nuovo Regolamento Privacy per la sanità.
In vigore dal 15 giugno 2016 il Regolamento (UE) 2016/679; il nuovo Regolamento in materia di Privacy ha compiuto il suo primo mese e chiunque ne conosca l’ambito ha consapevolezza di quanto tale modifica sia importante per il settore sanitario, contesto in cui tutto è centrato sul trattamento del dato sensibile.
Vediamo in sintesi alcune delle più rilevanti novità introdotte dal Regolamento Europeo e per le quali è dato fino al 25 maggio 2018 il termine entro cui adeguarsi alla norma.
- Privacy by design e approccio basato sulla valutazione del rischio.
E’ l’approccio concettuale che si deve adottare per la definizione di ogni procedura che preveda un trattamento dei dati.
In sintesi, nella sanità, significa la stesura di tutte le procedure operative interne per l’adozione di quelle misure che minimizzino il rischio di violazione del Regolamento e che tutelino il rispetto dei diritti del paziente nel trattamento dei dati.
Tale approccio ha forti assonanze con la nuova ISO 9001:2015 e le normative regionali in materia di autorizzazione all’esercizio e accreditamento.
Pertanto si ritiene più che opportuno considerare i diversi ambiti indicati –privacy, sistema di gestione, qualità- in modo integrato per le inevitabili implementazioni che nel corso del 2016- 2018 ognuno dovrà apportare nel proprio sistema di gestione.
- Data protection officer (DPO)
I soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili – ossia le strutture sanitarie tutte – dovranno designare un Responsabile della Protezione dei Dati (DPO), figura nuova e da non confondere con il già esistente responsabile al trattamento.
Il DPO dovrà informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, verificare l’esatta applicazione delle norme, fornire pareri in merito alla valutazione dell’impatto e alla ottimizzazione delle misure adottate, fungere da contatto per gli interessati in merito al trattamento dei loro dati.
Tale figura deve godere di una reale indipendenza e terzietà rispetto al titolare o al responsabile al trattamento.
Il DPO può operare sulla base anche di un contratto di servizio.
- Certificazione e codici di autoregolamentazione.
Si incentivano, nel Regolamento, le certificazioni e/o l’adozione di codici di autoregolamentazione (es: approvati dalla associazioni di categoria) che possano garantire l’applicazione del Regolamento calandolo sulle fattispecie tipiche dell’organizzazione e/o del settore.
Tale autoregolamentazione, dando maggiore efficacia alle misure adottate, garantisce un’effettiva applicabilità delle prescrizioni e la conformità dell’organizzazione alla legge.
- Registri delle attività di trattamento e misure tecnico organizzative per la minimizzazione del rischio.
Il ripristino di evidenze dell’effettiva applicazione delle misure e di documenti descrittivi l’adozione delle policy privacy, riporta la reminiscenza del famigerato Documento Programmatico Sulla Sicurezza (DPSS).
In realtà si fa riferimento a qualcosa di più pragmatico, una dettagliata descrizione dei trattamenti, della loro natura, dei soggetti autorizzati, delle modalità di svolgimento e conservazione, delle misure di sicurezza adottate.
Considerando questo nuovo aspetto in combinato con il precedente punto, sembra verosimile che un documento come il manuale della sicurezza delle informazioni definito negli standard ISO 27000 può rappresentare un buon punto di riferimento.
Contec AQS, per poter fornire le soluzioni più efficienti ed efficaci ai propri clienti ha già attivato un tavolo interdisciplinare (legale-informatico-amministrativo) per analizzare nel dettaglio ogni singolo articolo del codice declinando il nuovo Regolamento privacy per la sanità.
Le conclusioni del tavolo, pronte per il mese di settembre, saranno oggetto di un convegno specifico e di una pubblicazione speciale.
Chi fosse interessato ad informazioni di merito può inviare una e-mail a lineadiretta.aorsi@contecaqs.it
sarà nostra premura aggiornarvi sui prossimi sviluppi dei lavori.
A cura di Andrea Orsi
Direttore di Area per Contec AQS
Andrea è laureato in Economia e Commercio Internazionale a Trieste e ha seguito un master di secondo livello in Diritto informatico presso l’Università di Padova con tesi sulla Dematerializzazione del Documento Sanitario (referto medico digitale).
Abilitato come lead auditor per lo standard ISO 27001 (sicurezza del sistema informativo) presso BSI, ha operato per la conformità a norme di legge e a norme tecniche, quali gli standard ISO dei sistemi di gestione, con specializzazione nel settore sanitario.
Vai alla pagina Consulenza alle strutture sanitarie e socio sanitarie
Servizi Contec AQS correlati:
- Consulenza compliance privacy e audit di conformità
- Integrazione Privacy – Sistema Gestione Qualità
- Servizio Data Protection Officer
- Servizio Responsabile della conservazione
- CinquePro-sanità
