Il resoconto dell’incontro fra Autorità e DPO delle ASL della Regione Lazio che si è tenuto il 6 novembre. Francesco Modafferi, direttore del Dipartimento libertà pubbliche dell’Autorità garante per la protezione dei dati personali: ‘Protezione dati dei pazienti dovere deontologico’.  

Sempre più sensibile il tema della protezione dei dati personali in ambito sanità. Non a caso, è stato questo l’argomento principale, trattato durante il confronto tra Responsabili Protezione Dati (DPO, Data Protection Officer) delle Aziende Sanitarie e Ospedaliere della Regione Lazio tenutosi all’ospedale Sant’Eugenio di Roma il 6 novembre.

Ad intervenire, prima del confronto tra i DPO, Francesco Modafferi, direttore del Dipartimento libertà pubbliche dell’Autorità garante per la protezione dei dati personali. Il punto cardine del suo intervento è stato quello di elevare la protezione dei dati personali a parte integrante della cultura aziendale piuttosto che a mera questione burocratica. “Non a caso, quando un medico si prende cura del suo paziente, non si preoccupa solamente della sua salute ma anche della sicurezza dei suoi dati”, ha detto Modafferi, aggiungendo inoltre che la protezione dei dati personali del paziente è un dovere parte integrante del codice deontologico.

Quello di ieri è stato un punto di partenza, un colpo di pistola che ha segnato l’inizio del dialogo tra i vari DPO della Regione Lazio e non una semplice conferenza tra i Responsabili della Protezione Dati e il Garante.

In questo contesto, Francesco Modafferi ha illustrato le tre linee di lavoro del DPO:

• la prima, interna al titolare del trattamento, rispetto al quale svolge una funzione di consulenza e di sorveglianza;
• la seconda riguarda il rapporto con gli interessati, il mondo dei soggetti i cui dati sono trattati dal titolare del trattamento e nei confronti dei quali deve mobilitarsi affinché i diritti degli interessati siano rispettati;
• la terza è relativa al rapporto con l’Autorità, poiché il DPO rappresenta il punto di contatto dell’Autorità presso il titolare del trattamento.

Soprattutto per quanto riguarda l’ultimo punto, il rapporto funziona al meglio se anziché collaborare con un solo DPO, si collabora con una rete di DPO.

Perché promuovere tanto il lavoro di squadra? Perché è fondamentale per un DPO sapersi relazionare in particolar modo quando si lavora in un sistema complesso quanto quello ospedaliero e sanitario. La grande sfida che il DPO ha di fronte è quella di “semplificare i processi e le regole nonostante il mondo si complichi sempre di più”, ha aggiunto Modafferi, il quale ha esposto la necessità di nominare persone qualificate in ambito giuridico, organizzativo soprattutto quando si parla di realtà complesse, tecnico, normativo e, non meno importante, disposte ad aggiornarsi continuamente sull’interpretazione delle norme.

A cosa serve però il DPO? Perché così tanta attenzione nei confronti di una figura che fino ad ora si è sentita nominare a malapena? Partiamo dal presupposto che la presenza del DPO è necessaria per facilitare il lavoro perché rappresenta un punto di contatto per l’Autorità di controllo e fornisce consulenza al Titolare del Trattamento, verificando l’osservanza delle norme che, all’interno dell’UE, coincidono. “Tuttavia, non bisogna confondere la figura del DPO con la figura del legale”, punto fondamentale sottolineato più volte dal direttore dell’autorità Garante.

Per garantire la sua indipendenza, il DPO deve stare un passo all’esterno, deve poter svolgere il suo lavoro senza né conflitti di interesse né condizionamenti, avendo a disposizione tutte le risorse possibili fornitegli dal titolare. Per esempio, un DPO interno subirebbe la pressione dei vertici e non potrebbe lavorare liberamente. Il titolare non ha l’obbligo di concordare con quanto suggerito dal DPO poiché il Responsabile per la Protezione dei Dati svolge la funzione di consulente e non di legale. Non a caso, bisogna mantenere separati i ruoli per evitare di dipendere dal consulente che si occupa di verificare l’ottemperanza alle norme.

Altro punto cardine, è stato il tema riguardante la responsabilità. Con il nuovo regolamento, il concetto di accountability è stato delineato. Non è il DPO ad essere responsabile dei dati del titolare, bensì il titolare stesso a rispondere delle eventuali discordanze con il nuovo regolamento.

Ultimo concetto affrontato nella mattinata di ieri è stato l’approccio al rischio, argomento introdotto grazie al nuovo regolamento secondo cui è possibile classificare il livello del rischio tramite il Registro dei Trattamenti, potendo così analizzare caso per caso in base alle sue caratteristiche. “Il Registro dei Trattamenti diventa così un elemento straordinario per il lavoro del DPO, realizzando una mappa che non sia solo un elenco ma che sia uno strumento attraverso il quale si può classificare trattamento per trattamento l’entità del rischio”.