GDPR un anno dopo!
Ad un anno dall’entrata in vigore del Regolamento Europeo 679/2016 in materia di protezione dei dati è utile fare il punto della situazione nel settore dell’Assistenza agli Anziani e ai Disabili: le Case di Riposo, le RSA, le Cooperative sociali, i Centri Diurni e tutti gli altri servizi alla Persona. Intervista a Italo Parolari, socio e co-fondatore di Esakon
Come sta andando l’applicazione sul campo delle norme previste nel GDPR?
A macchia di leopardo, con forti ombre! Il GDPR è l’evoluzione della normativa precedente, ma non vediamo che sia stata acquisita la giusta mentalità per gestire questo importante aspetto. Notiamo che mancano in molti casi le strutture tecnologiche idonee per affrontare seriamente la problematica. Ancora oggi molti pensano che il GDPR sia solo una procedura cartacea e burocratica. Invece il GDPR è un nuovo modo di pensare, di organizzarsi e di attivare nuove strategie per la tutela dei dati personali, che nel nostro settore, in particolare, sono sempre più importanti e sempre più a rischio.
Quindi il GDPR non è simile alla Direttiva 95/46?
No, assolutamente no, tratta lo stesso argomento, la Privacy, ma parte da altri presupposti. Ci si aspettava che la Direttiva 95/46 avesse innestato più cultura della sicurezza per la tutela dei dati. Di conseguenza nelle RSA e in generale in ogni azienda dovrebbe esserci maggiore consapevolezza dei rischi derivanti dal mancato utilizzo di misure di sicurezza in riferimento ai dati trattati con sistemi automatizzati , che sono il principale problema.
Quali sono le principali novità introdotte dal GDPR?
Sono molte, ma mi soffermerei sulle due più importanti:
- la prima è la definizione delle “misure di sicurezza”. Precedentemente erano definite le “misure minime di sicurezza del trattamento dei dati” alle quali era abbastanza facile attenersi e ben pochi si sono sforzati di andare oltre. Ora invece si parla di “misure adeguate di sicurezza del trattamento dei dati”. È quindi indispensabile che tutti si pongano il problema e si organizzino per attivare misure veramente tutelanti.
- La seconda novità è l’introduzione del “Data Protection Officer”, il “Responsabile della Protezione dei Dati”, più conosciuto con l’acronimo DPO oppure RDP. Il DPO è un supporto indispensabile, indipendentemente che sia o non sia obbligatoria la sua nomina. Il DPO è un professionista serio e preparato che supporta il Titolare del trattamento dei dati, nell’analisi delle problematiche e della soluzione dei problemi di sicurezza. In parte può essere co-responsabile delle conseguenze della mancata tutela .
Il DPO è una figura rilevante, ma non è il centro del “sistema sicurezza” previsto dal GDPR: il fulcro del sistema rimane il Titolare del trattamento.
Il titolare del trattamento dati cosa deve fare?
Spesso il Titolare sottovaluta i rischi e spesso è convinto di essere a posto, soprattutto in tema assistenziale/sanitario. Non voglio fare terrorismo, ma anche dal punto di vista sanzonatorio il GDPR ha indirettamente introdotto novità pesantissime.
Quindi, laddove previsto, il Titolare deve nominare il DPO ed insieme a lui valutare la regolarità del sistema di sicurezza in essere e farsi certificare la conformità al GDPR.
Se non esiste la piena conformità, occorre evidenziare le falle e fare in modo di intervenire.
Qualche suggerimento?
Valutare molto seriamente l’ipotesi, come titolare e/o DPO, di appoggiarsi ad un proprio consulente, un soggetto terzo esperto informatico con cui:
- valutare a fondo i rischi
- adottare e/o far adottare dal fornitore dei programmi le misure atte a mitigare e possibilmente eliminare le debolezze del sistema di tutela
- fare un checkup delle garanzie in termini di sicurezza dei programmi informatici in uso o che vi vengono presentati in super offerta!
Dalla nostra esperienza spesso il Titolare del Trattamenti dei dati si fida ciecamente del fornitore informatico senza fare verifiche. Il Titolare del Trattamenti dei dati non dovrebbe mai dare nulla per scontato: non è detto infatti che la software house sia una garanzia, anche se marca famosa! Spesso infatti dietro a brand importanti si celano non conformità che possono produrre sanzioni o conseguenze davvero inaspettate.
Tanto per fare un esempio, la Regione Lombardia, che sulla sanità è leader in Italia, ha dismesso e dismetterà alcuni programmi informatici perché non in regola con il GDPR. La non conformità di sistemi informativi con il regolamento europeo sulla privacy è molto più diffusa di quanto si possa immaginare.
Noi di Esakon abbiamo un vanto: il nostro Sherpa è perfettamente in regola con il GDPR tanto da ottenere il plauso delle istituzioni di controllo e ne siamo orgogliosi!