L’entrata in vigore del Reg. UE 2016/679 (GDPR) ha già da tempo focalizzato l’attenzione sull’obbligo di sviluppare software che tengano conto dei principi di protezione dei dati personali sin dalla fase della loro progettazione: la necessità per le aziende di dispositivi medici di fabbricare i propri prodotti in conformità alla disciplina privacy è emersa più di recente anche nell’ambito delle gare di appalto in sanità, in particolar modo in seguito al provvedimento del Garante per la protezione dei dati personali nei confronti di un’azienda sanitaria che aveva comunicato illecitamente dati relativi alla salute dei pazienti ad una società fornitrice di apparecchiature diagnostiche.
Indice degli argomenti
Gare di appalto in sanità e privacy: nuovi requisiti
L’esigenza di assicurare maggiori tutele per i dati dei pazienti è stata esaminata nel corso di una collaborazione tra il Garante e la Consip. Dall’incontro tra le due autorità è scaturito l’inserimento, nei nuovi bandi di gara riguardanti l’acquisto di apparecchiature impiegate in sanità e di dispositivi medici, di requisiti più stringenti finalizzati a contrastare i rischi di accesso o modifica non autorizzata e di perdita dei dati delle persone assistite.
In primo luogo, nei futuri bandi sarà prevista, ad esempio, l’impossibilità per il fornitore che esegue un’attività di manutenzione a distanza dell’apparecchio, di accedere direttamente ai dati anagrafici dei pazienti contenuti nelle immagini diagnostiche.
Si tratta chiaramente di una applicazione concreta:
- del principio di minimizzazione dei dati di cui all’art. 5 del GDPR, che stabilisce che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- del principio di privacy by default di cui all’art. 25 del GDPR, che impone “che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.
Infatti, poiché l’accesso da parte del manutentore ai dati memorizzati all’interno del macchinario è finalizzato ad effettuare l’intervento di manutenzione sullo stesso, e non a conoscere l’identità dei pazienti e ricollegarla alle loro patologie, il software dei dispositivi dovrà essere progettato in modo tale che il fornitore non possa visualizzare i dati identificativi dei pazienti stessi.
Sotto il profilo strettamente tecnologico, Consip ha previsto di avviare un confronto con le imprese produttrici interessate alle gare di appalto in questione, per individuare e definire le specifiche funzionalità tecniche che possano essere programmate sulle apparecchiature in maniera adeguata a proteggere i dati dei pazienti trattati tramite i macchinari.
La ratio di tale previsione è strettamente connessa al principio di privacy by design, anch’esso previsto dall’art. 25 del Regolamento, che nel caso in oggetto deve essere applicato soprattutto con riferimento al servizio di assistenza e manutenzione a distanza delle apparecchiature e che, in generale, impone a chi realizza una nuova tecnologia di tutelare i dati personali degli interessati tenendo in considerazione:
- lo stato dell’arte dei progressi tecnologici;
- i costi di attuazione, in cui rientrano anche il tempo e le risorse umane;
- la natura, la portata, il contesto, e le finalità del trattamento;
- i rischi di varia probabilità e gravità per i diritti e le libertà degli interessati derivanti dal trattamento dei loro dati.
Gare di appalto in sanità e privacy: nuove opportunità
A ben vedere, la privacy by design non deve essere interpretata come un mero adempimento di legge, ma come una opportunità per le imprese di commercializzare un prodotto, che integrando già nel suo funzionamento il rispetto della compliance al GDPR, abbia sul mercato un vantaggio competitivo rispetto a software progettati senza tenere in considerazione i profili di data protection, che alla luce dei requisiti dei nuovi bandi si vedranno esclusi dall’aggiudicazione delle gare in sanità.
Inoltre, le nuove gare d’appalto introdurranno come clausola standard di contratto la nomina del produttore del dispositivo medico aggiudicatario del bando quale responsabile del trattamento dei dati personali ai sensi dell’art 28 del Regolamento.
L’ospedale, in qualità di titolare del trattamento, è tenuto a nominare il fornitore che tramite i macchinari visualizza i dati dei propri pazienti in quanto il produttore dei dispositivi, nell’accedere a quei dati per finalità di manutenzione delle apparecchiature, effettua un trattamento per conto dell’ospedale.
Nello specifico, ogni volta che un titolare appalta lo svolgimento di una o più operazioni di trattamento deve selezionare un fornitore che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ai rischi, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Le garanzie a cui fa riferimento il Regolamento vanno considerate in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure di sicurezza, e riguardano non solo i fornitori della sanità pubblica ma tutte le aziende che trattano dati in regime di appalto e di fornitura.
L’atto con cui la struttura sanitaria nomina come responsabile del trattamento il fornitore è di natura contrattuale e, tra gli altri obblighi, impone al responsabile in particolare di:
- garantire la riservatezza dei dati;
- trattare i dati conformemente alle istruzioni documentate fornitegli dal titolare;
- utilizzare servizi, prodotti, applicazioni o materiali che garantiscano la protezione dei dati personali fin dalla loro progettazione e che siano impostati per assicurare di default il massimo livello di tutela dei dati stessi;
- fornire ai soggetti da lui autorizzati a trattare dati una adeguata formazione relativa alle corrette modalità di trattamento.
A riguardo, la strategia più efficace per le aziende, indicata anche dal GDPR all’art. 32 è quella di dotarsi una procedura per testare, verificare e valutare regolarmente l’efficacia delle proprie misure di sicurezza, sia tecniche che organizzative.
Di volta in volta il controllo della conformità dell’azienda al Regolamento può essere eseguito stabilendo:
- quali attività o funzioni aziendali devono essere monitorate (profili di rischio del sistema IT, gestione delle risorse umane, etc.), in che modo (ad esempio mediante audit o check list), e ogni quanto tempo;
- chi deve effettuare il monitoraggio (Data Protection Officer, responsabile interno della compliance, consulente privacy esterno, Organismo di Vigilanza ecc.);
- chi deve valutarne i risultati.
Conclusioni
È da tali valutazioni che infatti può scaturire, a valle di un esame sistematico dell’organizzazione, quali siano i gap da colmare.
Dotarsi per tempo di un report o un verbale di audit dal quale emerga lo stato di adeguamento del proprio software e, in generale, della propria azienda, è una fondamentale strategia per impostare tempestivamente un piano di miglioramento e non rischiare di perdere opportunità di business, tanto nell’ambito di bandi pubblici quanto nella contrattazione con i privati.
@RIPRODUZIONE RISERVATA
