ADEMPIMENTI PRIVACY

Gare di appalto in sanità: ecco i nuovi requisiti privacy da rispettare

Anche nell’ambito delle gare di appalto in sanità è emersa la necessità per le aziende di dispositivi medici di fabbricare i propri prodotti in conformità alla disciplina privacy. È dunque fondamentale dotarsi di un report o di un verbale di audit sull’adeguamento aziendale per non rischiare di perdere opportunità di business

03 Giu 2020
R
Maria Livia Rizzo

Avvocato, Studio Legale Stefanelli&Stefanelli

L’entrata in vigore del Reg. UE 2016/679 (GDPR) ha già da tempo focalizzato l’attenzione sull’obbligo di sviluppare software che tengano conto dei principi di protezione dei dati personali sin dalla fase della loro progettazione: la necessità per le aziende di dispositivi medici di fabbricare i propri prodotti in conformità alla disciplina privacy è emersa più di recente anche nell’ambito delle gare di appalto in sanità, in particolar modo in seguito al provvedimento del Garante per la protezione dei dati personali nei confronti di un’azienda sanitaria che aveva comunicato illecitamente dati relativi alla salute dei pazienti ad una società fornitrice di apparecchiature diagnostiche.

Gare di appalto in sanità e privacy: nuovi requisiti

L’esigenza di assicurare maggiori tutele per i dati dei pazienti è stata esaminata nel corso di una collaborazione tra il Garante e la Consip. Dall’incontro tra le due autorità è scaturito l’inserimento, nei nuovi bandi di gara riguardanti l’acquisto di apparecchiature impiegate in sanità e di dispositivi medici, di requisiti più stringenti finalizzati a contrastare i rischi di accesso o modifica non autorizzata e di perdita dei dati delle persone assistite.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

In primo luogo, nei futuri bandi sarà prevista, ad esempio, l’impossibilità per il fornitore che esegue un’attività di manutenzione a distanza dell’apparecchio, di accedere direttamente ai dati anagrafici dei pazienti contenuti nelle immagini diagnostiche.

Si tratta chiaramente di una applicazione concreta:

  1. del principio di minimizzazione dei dati di cui all’art. 5 del GDPR, che stabilisce che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  2. del principio di privacy by default di cui all’art. 25 del GDPR, che impone “che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

Infatti, poiché l’accesso da parte del manutentore ai dati memorizzati all’interno del macchinario è finalizzato ad effettuare l’intervento di manutenzione sullo stesso, e non a conoscere l’identità dei pazienti e ricollegarla alle loro patologie, il software dei dispositivi dovrà essere progettato in modo tale che il fornitore non possa visualizzare i dati identificativi dei pazienti stessi.

Sotto il profilo strettamente tecnologico, Consip ha previsto di avviare un confronto con le imprese produttrici interessate alle gare di appalto in questione, per individuare e definire le specifiche funzionalità tecniche che possano essere programmate sulle apparecchiature in maniera adeguata a proteggere i dati dei pazienti trattati tramite i macchinari.

La ratio di tale previsione è strettamente connessa al principio di privacy by design, anch’esso previsto dall’art. 25 del Regolamento, che nel caso in oggetto deve essere applicato soprattutto con riferimento al servizio di assistenza e manutenzione a distanza delle apparecchiature e che, in generale, impone a chi realizza una nuova tecnologia di tutelare i dati personali degli interessati tenendo in considerazione:

  • lo stato dell’arte dei progressi tecnologici;
  • i costi di attuazione, in cui rientrano anche il tempo e le risorse umane;
  • la natura, la portata, il contesto, e le finalità del trattamento;
  • i rischi di varia probabilità e gravità per i diritti e le libertà degli interessati derivanti dal trattamento dei loro dati.

Gare di appalto in sanità e privacy: nuove opportunità

A ben vedere, la privacy by design non deve essere interpretata come un mero adempimento di legge, ma come una opportunità per le imprese di commercializzare un prodotto, che integrando già nel suo funzionamento il rispetto della compliance al GDPR, abbia sul mercato un vantaggio competitivo rispetto a software progettati senza tenere in considerazione i profili di data protection, che alla luce dei requisiti dei nuovi bandi si vedranno esclusi dall’aggiudicazione delle gare in sanità.

Inoltre, le nuove gare d’appalto introdurranno come clausola standard di contratto la nomina del produttore del dispositivo medico aggiudicatario del bando quale responsabile del trattamento dei dati personali ai sensi dell’art 28 del Regolamento.

L’ospedale, in qualità di titolare del trattamento, è tenuto a nominare il fornitore che tramite i macchinari visualizza i dati dei propri pazienti in quanto il produttore dei dispositivi, nell’accedere a quei dati per finalità di manutenzione delle apparecchiature, effettua un trattamento per conto dell’ospedale.

Nello specifico, ogni volta che un titolare appalta lo svolgimento di una o più operazioni di trattamento deve selezionare un fornitore che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate ai rischi, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.

Le garanzie a cui fa riferimento il Regolamento vanno considerate in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure di sicurezza, e riguardano non solo i fornitori della sanità pubblica ma tutte le aziende che trattano dati in regime di appalto e di fornitura.

L’atto con cui la struttura sanitaria nomina come responsabile del trattamento il fornitore è di natura contrattuale e, tra gli altri obblighi, impone al responsabile in particolare di:

  1. garantire la riservatezza dei dati;
  2. trattare i dati conformemente alle istruzioni documentate fornitegli dal titolare;
  3. utilizzare servizi, prodotti, applicazioni o materiali che garantiscano la protezione dei dati personali fin dalla loro progettazione e che siano impostati per assicurare di default il massimo livello di tutela dei dati stessi;
  4. fornire ai soggetti da lui autorizzati a trattare dati una adeguata formazione relativa alle corrette modalità di trattamento.

A riguardo, la strategia più efficace per le aziende, indicata anche dal GDPR all’art. 32 è quella di dotarsi una procedura per testare, verificare e valutare regolarmente l’efficacia delle proprie misure di sicurezza, sia tecniche che organizzative.

Di volta in volta il controllo della conformità dell’azienda al Regolamento può essere eseguito stabilendo:

  1. quali attività o funzioni aziendali devono essere monitorate (profili di rischio del sistema IT, gestione delle risorse umane, etc.), in che modo (ad esempio mediante audit o check list), e ogni quanto tempo;
  2. chi deve effettuare il monitoraggio (Data Protection Officer, responsabile interno della compliance, consulente privacy esterno, Organismo di Vigilanza ecc.);
  3. chi deve valutarne i risultati.

Conclusioni

È da tali valutazioni che infatti può scaturire, a valle di un esame sistematico dell’organizzazione, quali siano i gap da colmare.

Dotarsi per tempo di un report o un verbale di audit dal quale emerga lo stato di adeguamento del proprio software e, in generale, della propria azienda, è una fondamentale strategia per impostare tempestivamente un piano di miglioramento e non rischiare di perdere opportunità di business, tanto nell’ambito di bandi pubblici quanto nella contrattazione con i privati.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr