Pubblichiamo il testo dell’intervento tenuto da Pietro Calorio, Avvocato in Torino e consulente in materia di informatica giudiziaria e privacy, con incarichi come DPO nel settore pubblico e privato, al convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi nell’Ateneo milanese il 25 novembre scorso.
Svolgo la professione di avvocato sul libero foro, e nel 2018 sono stato designato, a seguito di procedura selettiva pubblica, quale DPO esterno di un’azienda ospedaliera, l’A.O. “Ordine Mauriziano” di Torino (ente citato nella XIV disposizione transitoria e finale della Costituzione, che dal 2004 è diventato appunto azienda ospedaliera, che ad oggi conta circa 500 posti letto e 22.000 ricoveri l’anno).
Dalla “trincea” porto alcune notizie su luci, ombre, opportunità e spunti di riflessione relativi alla figuradel DPO esterno in ambito sanitario pubblico.
Su rischi e opportunità si è detto giustamente che occorre mantenere il paziente al centro e, altrettanto correttamente, si è parlato di diritto alla salute digitale. Vedo quest’ultimo come “diritto alla salute (con l’aiuto del) digitale”: gli operatori non devono imporre vincoli ma costruire “rotaie”, che consentano alle tecnologie di correre senza “scarrocciare”, evitando di trasformarsi da mezzo in fine.
Sulla base dell’esperienza come DPO in questo settore, tra gli aspetti positivi mi sento sicuramente di menzionare l’istituzione di un tavolo di lavoro che riunisce a cadenze regolari molti omologhi DPO della sanità pubblica piemontese allo scopo di condividere problemi ed progettare soluzioni. Tale gruppo di lavoro è nato grazie all’iniziativa spontanea del DPO di una azienda sanitaria torinese, raccogliendo l’invito rivolto dal Garante ai DPO a “fare rete” all’indomani dell’inizio del periodo di applicabilità del Regolamento.
Nel corso di questi incontri ci si confronta anche su questioni di “sistema”. Ci si sta ancora interrogando su come occorra ragionare per tutti i trattamenti “accessori” a quelli necessari per le strette “finalità di cura”.Pensiamo, in particolare, al trattamento effettuato attraverso il dossier sanitario (ad oggi ancora legato alle Linee guida del 2015). Sul punto il provvedimento di chiarimenti del 7 marzo scorso non ha fornito indicazioni, per cui attendiamo l’adozione delle misure di garanzia previste dall’art. 2-septies d.lgs. 196/2003 riformato. Al riguardo, in seno al gruppo, si è avuto modo di registrare che la componente medica del settore saluterebbe con estremo favore il definitivo tramonto dell’ottica “consensocentrica”: la quasi totalità dei trattamenti ulteriori (in particolare quello consistente nella condivisione di informazioni fra strutture aziendali che nel tempo hanno avuto in cura il paziente) sono indubbiamente tesi a migliorare il percorso di cura della persona e, parimenti, ad alleggerire le responsabilità del medico in caso di – talora inconsapevoli – carenze informative da parte del paziente. Inoltre, mantenere il consenso come base giuridica di questo peculiare trattamento aprirebbe a scenari ancora inesplorati sulla necessità di garantire il diritto alla portabilità dei dati, in generale non previsto in ambito di trattamenti di natura pubblicistica ex art. 20 § 3 del Regolamento.
Prendendo in considerazione gli aspetti organizzativi, è stata poi rilevata una diffusa difficoltà nel portare avanti efficaci attività di sensibilizzazione dei vertici delle strutture, dimostratisi mediamente poco ricettivi su questo tema. Altra criticità coinvolge la gestione dei data processor, che sono in gran numero e a volte “nascosti” sotto il profilo privacy: alcune forniture non sembrano avere ricadute ma poi, ad un esame ulteriore, si scopre che le presentano (un esempio: il noleggio di materassi antidecubito, che è sostanzialmente ad personam).
Posso affermare con una certa tranquillità che le figure operative (anche apicali) dell’azienda ospedaliera in cui opero hanno ben compreso la ratio dell’introduzione della figura del DPO, riconoscendone l’importanza e l’utilità; d’altro canto nell’ambito sanitario il livello di sensibilità sul tema del trattamento dei dati è strutturalmente più elevato rispetto ad altri settori.
Sotto un profilo generale, a mio avviso, la sfida più delicata e appassionante è quella di riuscire ad incidere realmente sul fattore umano: da un lato, va tenuto ben presente che il medico deve salvare delle vite, perciò occorre mettersi al suo fianco e comprendere la realtà quotidiana che egli vive, suggerendogli buone pratiche e non impartendogli istruzioni astratte difficili da capire ed applicare; d’altro lato, l’operatore sanitario incontra assai sovente difficoltà logistiche e culturali che ostacolano la possibilità di rendere operative le buone pratiche in materia di riservatezza delle informazioni personali.
Compito del DPO, in questo contesto, è fare appello alle proprie soft skills per cercare di stabilire il giusto rapporto con tutti i professionisti sanitari, ponendosi non su un piano “altro” ma al loro fianco, per aiutarli a fattivamente a tutelare un aspetto essenziale della salute del paziente, la sua dignità.
Nel rapporto con l’azienda, inoltre, altra sfida è quella di riuscire a calibrare l’aspetto consulenziale con quello di sorveglianza, talora anche a costo di “autoesonerarsi” dall’esecuzione di certi compiti per non andare incontro a conflitto di interessi.
Lato interessati, infine, non è semplice garantire la trasparenza contemperando sinteticità di informazioni con necessità di non moltiplicare la modulistica (viste quantità ed eterogeneità di categorie di interessati); né è semplice far comprendere perché certe richieste devono essere negate (alcuni chiedono “cancellazioni” spesso impossibili per legge – cfr. art. 17.3.b GDPR – o per altri atti amministrativi – es. in merito alla cartella clinica, v. la Circolare del Ministero della Sanità 19/12/1986, n. 900 2/AG454/260, richiamata dal recente provvedimento del Garante).
Ancora, raramente si hanno risorse (non solo di tempo) per mettere in atto azioni più incisive in ottica informativa: penso ad esempio alla redazione di privacy policy in formato video o illustrate, che risulterebbero molto più semplici da percepire per i pazienti i quali a loro volta manifestano, in quest’ultimo periodo, maggiore (seppure ineducata) attenzione al tema.
Il buon Data Protection Officer, a mio vedere, deve agire sempre con profondo buon senso e realismo perché il “dover essere” disegnato da una normativa così complessa (cogente ma molto generale, e che perciò deve essere oggetto di sforzi notevoli per l’applicazione pratica) è sempre molto lontano dall’“essere”. Occorre dunque impegnarsi per fare il meglio possibile, pur sapendo che l’adeguatezza è più una tensione costante che un obiettivo concretamente realizzabile.
Fino ad oggi, purtroppo (eccetto le più virtuose eccezioni), noi DPO siamo mediamente ancora troppo pressati da urgenze che riguardano il lato maggiormente burocratico del tema (esame di norme e provvedimenti, contratti con i responsabili, informative, ecc.). e non abbiamo risorse sufficienti per fare reale consapevolezza (verso l’esterno e l’interno), per mettere davvero “a terra” procedure (ad es. tese all’applicazione rigorosa del principio di minimizzazione e delle tecniche di pseudo-anonimizzazione), per aiutare ad ingegnerizzare politiche di trattamento ad alto livello, che possano finalmente consentirci di estrarre valore dai dati, ad esempio al fine dell’elaborazione di modelli utili al contenimento della spesa pubblica.
L’accenno al tema della libera circolazione dei dati personali (fatto dal Col. Menegazzo nel corso della mattina) è sempre opportuno: è ben noto quanto, anche in ambito salute, la società civile beneficerebbe di un incredibile aumento delle conoscenze in presenza di certezze non solo sulla protezione, ma anche sulle regole di circolazione dei dati. Come si parla si smart working, si dovrebbe poter parlare anche di smart care. Nonostante questo, il gap fattuale da colmare è grande.
Mi sia permesso, al riguardo ed in conclusione, l’accenno ad un argomento linguistico: per quanto il Regolamento Generale sia “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, la parola “protezione” compare circa 260 volte, mentre la parola “circolazione” soltanto 20.
Unicamente il ragionare di ‘protezione nella circolazione’, e non di ‘protezione e poi dopo – se possibile – circolazione’ rende davvero giustizia al senso ultimo della “sfida delle sfide” in cui noi tutti siamo impegnati: assicurare all’umanità sviluppo e prosperità valorizzando le informazioni riguardanti le persone, senza recar pregiudizio a queste ultime.
