Il buon Data Protection Officer deve agire sempre con profondo buon senso e realismo perché la teoria di una normativa così complessa è sempre molto lontano dalla realtà.

Pubblichiamo il testodell’intervento tenuto da Pietro Calorio, Avvocato in Torino econsulente in materia di informatica giudiziaria e privacy, con incarichi comeDPO nel settore pubblico e privato, al convegno “I Dati tra Sovranità Digitalee Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”,svoltosi nell’Ateneo milanese il 25 novembre scorso.

Svolgo la professionedi avvocato sul libero foro, e nel 2018 sono stato designato, a seguito diprocedura selettiva pubblica, quale DPO esterno di un’azienda ospedaliera,l’A.O. “Ordine Mauriziano” di Torino (ente citato nella XIV disposizionetransitoria e finale della Costituzione, che dal 2004 è diventato appuntoazienda ospedaliera, che ad oggi conta circa 500 posti letto e 22.000 ricoveril’anno).

Dalla “trincea” porto alcune notizie su luci, ombre, opportunità e spunti diriflessione relativi alla figuradel DPO esterno in ambito sanitario pubblico.
Su rischi e opportunità si è detto giustamente che occorre mantenere ilpaziente al centro e, altrettanto correttamente, si è parlato di diritto allasalute digitale. Vedo quest’ultimo come “diritto alla salute (con l’aiuto del)digitale”: gli operatori non devono imporre vincoli ma costruire “rotaie”, checonsentano alle tecnologie di correre senza “scarrocciare”, evitando ditrasformarsi da mezzo in fine.

Sulla basedell’esperienza come DPO in questo settore, tra gli aspetti positivi mi sentosicuramente di menzionare l’istituzione di un tavolo di lavoro che riunisce acadenze regolari molti omologhi DPO della sanità pubblica piemontese allo scopodi condividere problemi ed progettare soluzioni. Tale gruppo di lavoro è natograzie all’iniziativa spontanea del DPO di una azienda sanitaria torinese, raccogliendol’invito rivolto dal Garante ai DPO a “fare rete” all’indomani dell’inizio delperiodo di applicabilità del Regolamento.

Nel corso di questiincontri ci si confronta anche su questioni di “sistema”. Ci si sta ancorainterrogando su come occorra ragionare per tutti i trattamenti “accessori” aquelli necessari per le strette “finalità di cura”.Pensiamo, in particolare, altrattamento effettuato attraverso il dossier sanitario (ad oggi ancora legatoalle Linee guida del 2015). Sul punto il provvedimento di chiarimenti del 7marzo scorso non ha fornito indicazioni, per cui attendiamo l’adozionedelle misure di garanzia previste dall’art. 2-septies d.lgs.196/2003 riformato. Al riguardo, in seno al gruppo, si è avuto modo diregistrare che la componente medica del settore saluterebbe con estremo favoreil definitivo tramonto dell’ottica “consensocentrica”: la quasi totalitàdei trattamenti ulteriori (in particolare quello consistente nella condivisionedi informazioni fra strutture aziendali che nel tempo hanno avuto in cura ilpaziente) sono indubbiamente tesi a migliorare il percorso di cura dellapersona e, parimenti, ad alleggerire le responsabilità del medico in caso di –talora inconsapevoli – carenze informative da parte del paziente. Inoltre, mantenereil consenso come base giuridica di questo peculiare trattamento aprirebbe ascenari ancora inesplorati sulla necessità di garantire il diritto allaportabilità dei dati, in generale non previsto in ambito di trattamenti dinatura pubblicistica ex art. 20 § 3 del Regolamento.

Prendendo inconsiderazione gli aspetti organizzativi, è stata poi rilevata una diffusadifficoltà nel portare avanti efficaci attività di sensibilizzazione deivertici delle strutture, dimostratisi mediamente poco ricettivi su questo tema.Altra criticità coinvolge la gestione dei data processor, che sonoin gran numero e a volte “nascosti” sotto il profilo privacy: alcune forniturenon sembrano avere ricadute ma poi, ad un esame ulteriore, si scopre che lepresentano (un esempio: il noleggio di materassi antidecubito, che èsostanzialmente ad personam).

Posso affermare conuna certa tranquillità che le figure operative (anche apicali) dell’aziendaospedaliera in cui opero hanno ben compreso la ratio dell’introduzionedella figura del DPO, riconoscendone l’importanza e l’utilità; d’altro cantonell’ambito sanitario il livello di sensibilità sul tema del trattamento deidati è strutturalmente più elevato rispetto ad altri settori.

Sotto un profilogenerale, a mio avviso, la sfida più delicata e appassionante è quella diriuscire ad incidere realmente sul fattore umano: da un lato, va tenuto benpresente che il medico deve salvare delle vite, perciò occorre mettersi al suofianco e comprendere la realtà quotidiana che egli vive, suggerendogli buonepratiche e non impartendogli istruzioni astratte difficili da capire edapplicare; d’altro lato, l’operatore sanitario incontra assai soventedifficoltà logistiche e culturali che ostacolano la possibilità di rendereoperative le buone pratiche in materia di riservatezza delle informazionipersonali.

Compito del DPO, inquesto contesto, è fare appello alle proprie soft skills percercare di stabilire il giusto rapporto con tutti i professionisti sanitari,ponendosi non su un piano “altro” ma al loro fianco, per aiutarli afattivamente a tutelare un aspetto essenziale della salute del paziente, la suadignità.

Nel rapporto conl’azienda, inoltre, altra sfida è quella di riuscire a calibrare l’aspettoconsulenziale con quello di sorveglianza, talora anche a costo di“autoesonerarsi” dall’esecuzione di certi compiti per non andare incontro aconflitto di interessi.

Lato interessati,infine, non è semplice garantire la trasparenza contemperando sinteticità diinformazioni con necessità di non moltiplicare la modulistica (viste quantitàed eterogeneità di categorie di interessati); né è semplice far comprendereperché certe richieste devono essere negate (alcuni chiedono “cancellazioni”spesso impossibili per legge – cfr. art. 17.3.b GDPR – o per altri attiamministrativi – es. in merito alla cartella clinica, v. la Circolare delMinistero della Sanità 19/12/1986, n. 900 2/AG454/260, richiamata dal recenteprovvedimento del Garante).

Ancora, raramente sihanno risorse (non solo di tempo) per mettere in atto azioni più incisive inottica informativa: penso ad esempio alla redazione di privacy policy informato video o illustrate, che risulterebbero molto più semplici da percepireper i pazienti i quali a loro volta manifestano, in quest’ultimo periodo,maggiore (seppure ineducata) attenzione al tema.

Il buon DataProtection Officer, a mio vedere, deve agire sempre con profondo buon sensoe realismo perché il “dover essere” disegnato da una normativa così complessa(cogente ma molto generale, e che perciò deve essere oggetto di sforzi notevoliper l’applicazione pratica) è sempre molto lontano dall’“essere”. Occorredunque impegnarsi per fare il meglio possibile, pur sapendo che l’adeguatezza èpiù una tensione costante che un obiettivo concretamente realizzabile.

Fino ad oggi,purtroppo (eccetto le più virtuose eccezioni), noi DPO siamo mediamente ancoratroppo pressati da urgenze che riguardano il lato maggiormente burocratico deltema (esame di norme e provvedimenti, contratti con i responsabili,informative, ecc.). e non abbiamo risorse sufficienti per fare realeconsapevolezza (verso l’esterno e l’interno), per mettere davvero “a terra”procedure (ad es. tese all’applicazione rigorosa del principio diminimizzazione e delle tecniche di pseudo-anonimizzazione), per aiutare adingegnerizzare politiche di trattamento ad alto livello, che possano finalmenteconsentirci di estrarre valore dai dati, ad esempio al fine dell’elaborazionedi modelli utili al contenimento della spesa pubblica.

L’accenno al temadella libera circolazione dei dati personali (fatto dal Col. Menegazzo nel corsodella mattina) è sempre opportuno: è ben noto quanto, anche in ambito salute,la società civile beneficerebbe di un incredibile aumento delle conoscenze inpresenza di certezze non solo sulla protezione, ma anche sulle regole dicircolazione dei dati. Come si parla si smart working, si dovrebbepoter parlare anche di smart care. Nonostante questo, il gap fattualeda colmare è grande.

Mi sia permesso, alriguardo ed in conclusione, l’accenno ad un argomento linguistico: per quantoil Regolamento Generale sia “relativo alla protezione delle personefisiche con riguardo al trattamento dei dati personali, nonché alla liberacircolazione di tali dati”, la parola “protezione” comparecirca 260 volte, mentre la parola “circolazione” soltanto 20.

Unicamente il ragionaredi ‘protezione nella circolazione’, e non di ‘protezione e poi dopo –se possibile – circolazione’ rende davvero giustizia al senso ultimodella “sfida delle sfide” in cui noi tutti siamo impegnati: assicurareall’umanità sviluppo e prosperità valorizzando le informazioni riguardanti lepersone, senza recar pregiudizio a queste ultime.