L’esigenza delle aziende e organizzazioni in genere di adeguarsi alla normativa in materia di protezione dei dati personali non è una novità, già con l’entrata in vigore del Reg. Ue 2016/679 oramai due anni fa era evidente che nessuno avrebbe potuto sottrarvisi.
Tuttavia, fino a tempi recenti, le conseguenze di un simile inadempimento rimanevano sul piano sanzionatorio e, al massimo, sulle eventuali mancate opportunità di business derivanti da una ottimale gestione delle informazioni.
Ad oggi invece, specialmente a seguito del provvedimento del Garante per la Protezione dei Dati Personali che sanzionava un’azienda sanitaria per l’illecita comunicazione di dati relativi alla salute al proprio fornitore di apparecchiature diagnostiche, le conseguenze del mancato adeguamento arrivano a pregiudicare la partecipazione alle gare d’appalto del settore sanitario.
I nuovi requisiti per partecipare alle gare d’appalto in ambito sanitario
I nuovi requisiti nascono da una collaborazione tra il Garante per la Protezione dei Dati Personali e la Consip, e prevedono che all’interno dei bandi di gara riguardanti l’acquisto di apparecchiature impiegate in sanità vengano inseriti requisiti più stringenti finalizzati a contrastare i rischi di violazione dei dati personali, cioè di accesso, modifica, perdita o cancellazione non autorizzati delle informazioni ivi conservate.
In particolare sarà necessario che le apparecchiature siano progettate in maniera da impedire ai manutentori di accedere, nel corso delle proprie attività, ai dati anagrafici dei pazienti.
Tale requisito è una concreta applicazione del principio di minimizzazione sancito dall’art. 5 del Reg. Ue 679/2016 che recita “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” nonché del principio detto di “privacy by default” secondo il quale dovranno essere trattati solo i dati realmente necessari per ognuna delle finalità del trattamento.
Appare subito evidente, infatti, che per effettuare le attività manutentive non può essere in alcun modo necessario conoscere l’identità dei pazienti, con il corollario per il quale l’eventuale accesso ai dati diagnostici non comporterebbe alcun problema, data l’assenza di riconducibilità ad una determinata persona fisica.
Consip ha inoltre previsto l’avvio di un confronto con le case produttrici di tali apparecchiature, allo scopo di definire le specifiche funzionalità che possano innalzare il livello di protezione dei dati personali trattati attraverso i macchinari stessi.
Tale dialogo è un applicazione del principio generale denominato “privacy by design” secondo il quale chiunque si appresti a progettare un attività che comporti il trattamento di dati personali deve tenere in considerazione la protezione degli stessi fin dall’inizio, tenendo in considerazione i seguenti parametri:
- lo stato dell’arte dei progressi tecnologici;
- i costi di attuazione, in cui rientrano anche il tempo e le risorse umane;
- la natura, la portata, il contesto, e le finalità del trattamento;
- i rischi di varia probabilità e gravità per i diritti e le libertà degli interessati derivanti dal trattamento dei loro dati.
Ulteriore adempimento o opportunità di business?
La previsione di questi ulteriori requisiti, che riguarderanno un mercato fondamentale per il settore sanitario come quello pubblico potrebbe rivelarsi, per le aziende accorte, una rilevante opportunità di business.
Infatti, affidarsi ad un esperto della protezione dei dati per progettare un dispositivo medico già in possesso delle caratteristiche di data protection richieste dalle pubbliche amministrazioni porterebbe un vantaggio competitivo assolutamente rilevante.
Le nuove gare, inoltre prevederanno che il fornitore del dispositivo venga nominato dall’amministrazione responsabile del trattamento ex. art. 28, e questo ha una serie di conseguenze per l’azienda vincitrice:
- Il titolare del trattamento, cioè l’amministrazione che richiede il servizio o prodotto, potrà nominare responsabile del trattamento esclusivamente quei soggetti che presentino garanzie adeguate in ordine alla protezione dei dati personali, in mancanza non potrà procedervi, con probabile esclusione dalla procedura di gara.
- Il titolare del trattamento potrà inoltre verificare mediante ispezioni ed audit l’effettiva rispondenza a normativa dell’azione del responsabile del trattamento, qualora il responsabile risulti non conforme le conseguenze possono arrivare anche all’interruzione del rapporto contrattuale.
A questo punto si può concludere che sia fondamentale per tutte le aziende del settore medicale munirsi di una solidissima struttura documentale, procedurale e tecnica in materia di protezione dei dati personali, allo scopo di non pregiudicare ed anzi ampliare le proprie opportunità di business nel settore pubblico.
