AboutPharma and Medical Devices

Francesco Modafferi (Garante privacy): “Ecco le priorità per adeguarsi al Regolamento Ue”

Francesco Modafferi

Il nuovo Regolamento europeo sulla protezione dei dati personali (Gdpr) sarà pienamente operativo da maggio 2018 e le aziende italiane che trattano informazioni sanitarie rilevanti, sia pubbliche che private, avrebbero dovuto fare i compiti a casa già dal 2016 e cominciare a implementarlo. Così non è stato, se non in pochi casi. Ma c’è ancora un po’ di tempo per intervenire. È quello che spiega Francesco Modafferi, dirigente del Dipartimento libertà pubbliche e sanità del Garante della protezione dei dati personali in un’intervista rilasciata ad AboutPharma.

Tre priorità per adeguarsi al nuovo Regolamento Ue

“Ci sono tre priorità, indicate dall’Autorità, che possono essere implementate subito. Si tratta della designazione del Responsabile della protezione dei dati (per i soggetti pubblici e per i privati che fanno trattamenti di larga scala), dell’istituzione dei registri delle attività di trattamento e della creazione di una procedura per la gestione dei data breach”, dice Francesco Modafferi. Che fa notare come quella del Regolamento Ue può essere una chance per migliorare il rapporto tra libertà di ricerca scientifica e diritto alla privacy. E per rendere davvero “informato” il consenso che i cittadini prestano a chi tratta le proprie informazioni personali.

Quali sono i rischi e le criticità principali in tema di gestione dei dati personali che le aziende che operano nel campo della salute segnalano all’Autorità?

La maggior parte delle criticità è legata al processo di digitalizzazione messo in atto dalle aziende, e in particolare dalla Pa. Non sempre il cammino verso il digitale è accompagnato da una consapevolezza adeguata dei rischi, che rientrano essenzialmente in due categorie. La prima è tecnica: più dati si condividono, più aumenta la superficie di attacco da parte di malintenzionati che vogliono acquisire informazioni. Gli attacchi alla sicurezza informatica sono all’ordine del giorno. Soprattutto nei confronti delle strutture sanitarie, e occorre adeguare le misure tecniche di tutela, per cui spesso negli ultimi anni l’Autorità ha dato indicazioni.

Dal 2015, inoltre, le amministrazioni sono tenute, in caso di “data breach” (violazione di dati), a farne comunicazione al Garante per valutare l’impatto della violazione e capire quali accorgimenti adottare per tutelare i diritti delle persone i cui dati sono stati violati. L’altro tipo di rischi riguarda il modo in cui ciascun soggetto che tratta dati personali si organizza per questo compito. A volte c’è chi lo fa con meno efficacia. Serve una sensibilizzazione energica, per spingere tutti a operare, nel rispetto delle regole, con la massima attenzione per garantire la tutela dei diritti dei cittadini, in primo luogo della protezione dei dati personali.

Continua a leggere sul numero 154 di AboutPharma and Medical Devices