La GDPR, in pratica, prevede tutta una serie di norme concernenti:

• il modo in cui un’azienda (pubblica o privata) raccoglie dati sui soggetti (clienti, pazienti, personale);
• il modo in cui li deve conservare, per far sì che le informazioni non vengano divulgate senza permesso o al di fuori di quanto stabilito dai termini di utilizzo;
• le modalità con cui i proprietari dei dati possono accedere alle informazioni che li riguardano per verificarle, modificarle o richiederne la cancellazione;
• le regole da seguire nel caso si rilevi un’intrusione o una alterazione dei dati registrati.

Fissa, infine, sanzioni pesantissime per chi, in un modo o nell’altro, non si atterrà a quanto sancito dal nuovo regolamento. Rispetto alla direttiva 95/46/CE (legge del 1995 sulla privacy definita dal Parlamento Europeo) precedentemente in vigore, la GDPR garantirà una maggiore organicità delle regole e un cambio di prospettiva per cui al primo posto viene messo l’interesse delle persone a cui i dati si riferiscono.

Per esempio, le mille scappatoie presenti nella legge sulla privacy riguardo al consenso al trattamento dei dati sono state praticamente tutte arginate. Chi per esempio provasse a contattare (anche via e-mail) una persona che non ha dato il permesso esplicito di essere raggiunta, rischia multe salatissime.

Se con la nuova normativa tutti i dati personali sono considerati sensibili, i dati sanitari lo sono in modo speciale, tanto che sono previste ulteriori restrizioni per il loro utilizzo, legate alla relativa estrema confidenzialità. I dati sanitari quindi si potranno usare solo per finalità connesse alla salute, per la supervisione da parte del Sistema Sanitario Nazionale e per la ricerca purché sia di pubblico interesse. Inoltre, i singoli governi europei possono introdurre ulteriori limitazioni o condizioni particolari per il trattamento dei dati stessi.

Detta così, l’introduzione della GDPR sembra essere solo una grande fonte di grattacapi per ogni azienda, pubblica o privata, che raccolga, memorizzi e utilizzi dati relativi a persone. In realtà, si tratta anche di una grande opportunità da cogliere. La natura stessa del regolamento, infatti, incoraggia un riassetto completo dei database aziendali, che vanno ripensati in modo da assicurare la privacy “by design” e “by default”, ovvero direttamente già in fase di progettazione e come azione non facoltativa. Questo permetterebbe, per esempio, di riorganizzare in modo coerente i tanti database che spesso in azienda sono cresciuti in modo disordinato e indipendente uno dall’altro, con il risultato di rendere difficile il confronto fra i dati e l’utilizzo combinato dei database stessi, riducendo nettamente l’efficacia di questi strumenti.

Potrebbe essere anche l’occasione per “pulire” database che sono in produzione da tempo e che, molto probabilmente, conterranno un’elevata percentuale di dati obsoleti, incompleti, mal codificati o semplicemente sbagliati. Per la sanità potrebbe significare per esempio riuscire a unificare la gestione dei dati anagrafici e clinici, dei referti di analisi ed esami, delle immagini radiografiche e via discorrendo. In questo modo, il medico avrebbe a disposizione uno strumento di anamnesi formidabile, in cui tutti i dati relativi al paziente sono istantaneamente disponibili, sicuri e verificati. In un prossimo futuro, mettere in connessione database di questo tipo con applicazioni di diagnostica basate sull’intelligenza artificiale (come Watson di IBM) creerebbe uno strumento digitale adatto anche a fini diagnostici, utile a supportare il lavoro dei clinici.

E una volta riprogettati i database, si potrà approfittare dell’occasione per togliere dalla produzione, finalmente, certe applicazioni legacy che hanno come unica ragion d’essere il mantenimento di database storici, e che consumano una quantità sproporzionata di risorse che si potranno reimpiegare in modo più proficuo.

Un sistema di trattamento dati riprogettato da zero con criteri moderni di privacy è inoltre più semplice da proteggere e da mettere in sicurezza, avendo meno punti di attacco che possono essere sfruttati da un eventuale hacker o malware. Inoltre, risulta anche più comodo estrarre e organizzare i dati in forma pseudonimizzata o anonimizzata per fini statistici e di ricerca.

Un altro aspetto che beneficerà della corretta applicazione del regolamento GDPR è quello delle basi dati legate alle applicazioni “mobile”, ovvero il comparto della “m-health”. Per esempio, sarà possibile anche per i titolari del trattamento dati di applicazioni mobile non basate in territorio europeo aderire al regolamento GDPR. A rigor di termini, questi dati sarebbero esclusi dall’ambito di applicazione della normativa europea, ma la compliance con il regolamento costituirà una forma di garanzia supplementare fornita agli utenti, ed è ovvio che essi saranno portati a preferire applicazioni “GDPR approved” rispetto a quelle che non lo sono. A livello operativo, per ottenere questa compliance i responsabili dati delle applicazioni devono stendere un “codice di condotta” e sottoporlo all’autorità competente che ne certificherà la compatibilità con la GDPR.

In attesa che si concretizzino i vantaggi promessi dalla GDPR, le aziende (anche quelle sanitarie) sono alle prese con i compiti fondamentali per arrivare all’implementazione corretta del regolamento entro la fine di maggio 2018. Il garante della privacy, in particolare, ha individuato già diversi mesi fa tre priorità per le pubbliche amministrazioni:

• selezionare una persona per il ruolo di Responsabile della protezione dei dati personali (Data Protection Officer);
• implementare le procedure interne per istituire i registri dei trattamenti;
• definire le procedure relative alla rilevazione, registrazione e comunicazione agli interessati di eventuali violazioni dei dati.

Quest’ultimo punto è particolarmente interessante. Il regolamento GDPR, infatti, introduce la comunicazione obbligatoria delle violazioni di sicurezza. Quando si scopre che è avvenuta un’intrusione, essa va comunicata all’autorità preposta (in Italia dovrebbe essere il garante per la protezione dei dati) entro 72 ore. Questa costituirà una sfida notevole per le strutture sanitarie, che fino a oggi non hanno mai brillato per la tempestività con cui reagiscono a problemi informatici – i casi di ospedali colpiti da ransomware (attacco digitale) non depongono certo a favore. A “incentivare” il miglioramento della reattività ci penseranno le salatissime multe previste dal regolamento, multe dalle quali non sono escluse le strutture pubbliche, e che possono arrivare al 4% del fatturato annuo dell’azienda.

Fra le altre cose, la GDPR definisce anche una serie di figure precise che si occupano della gestione dei dati in azienda. E se nella maggior parte dei casi si tratta di dare un nome nuovo a figure preesistenti, come “data controller” e “data processor”, la direttiva introduce anche un nuovo membro nell’organico. Si tratta della figura del Data Protection Officer (DPO), probabilmente una delle novità più rilevanti della GDPR. Di fatto, è una persona che può essere sia interna che esterna all’azienda, il cui compito è quello di vigilare perché siano messe in pratica correttamente tutte le procedure tecniche e amministrative che garantiscono il corretto trattamento dei dati secondo la direttiva europea. Esso è quindi una figura operativa e di controllo, che avrà quattro incarichi principali:

• informare il personale che si occupa dei dati sulle disposizioni della GDPR;
• controllare che le normative stesse vengano attuate correttamente;
• fare da ponte fra i responsabili del trattamento dati e il Garante della Privacy;
• assicurarsi che le norme siano rispettate in modo da evitare sanzioni.

Il fatto che il ruolo sia a cavallo fra l’amministrativo e l’operativo, e soprattutto che richieda solide competenze sia in tema di legge (deve conoscere a fondo la direttiva e i suoi corollari, le leggi sulla privacy eccetera), sia in tema di gestione operativa dati e cybersecurity, fa sì che ci siano pochi professionisti in grado di ricoprire il ruolo.

Anche se vari organismi in Europa si sono mossi tempestivamente per organizzare la formazione e la certificazione di figure adatte al compito di DPO, non è difficile prevedere un periodo iniziale di scarsa disponibilità di personale adeguato, cosa che costringerà molte aziende a ricorrere a consulenti esterni o, nel caso di pubbliche amministrazioni, a consorziarsi per condividere un DPO fra varie organizzazioni.

L’importante, comunque, è evitare che il valore della nuova figura venga sottostimato, come è successo all’attuale “responsabile del trattamento dati”, indicato come referente dalla legge sulla privacy, che spesso è ridotto a essere poco più che una semplice firma su un foglio.