Da Maggio 2018 è in vigore il Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”), che determina significativi obblighi e responsabilità per tutte le organizzazioni.

A differenza delle precedenti normative sulla privacy, più puntualmente esplicitate nei dettagli, il regolamento definisce dei principi di più ampia portata, in accordo ai quali le singole strutture dovranno definire, implementare e gestire un proprio completo sistema di misure -non solo tecnologiche, ma anche e soprattutto organizzative- secondo cui trattare le informazioni personali gestite.

I codici di condotta

I principi sanciti dal GDPR sono necessariamente di validità generale ed indipendenti quindi dalle specifiche caratteristiche ed esigenze dei diversi domini di attività.

Onere di ciascuna organizzazione, innanzi tutto, è quindi l’individuazione di un insieme di regole, in funzione delle quali declinare i principi generali del GDPR secondo le caratteristiche e le esigenze del proprio contesto.

Per facilitare l’individuazione dei criteri secondo cui declinare nella propria struttura i principi generali stabiliti dal regolamento, il GDPR stesso prevede la definizione dei “Codici di condotta”, ovvero di regole che dettagliano la corretta applicazione del regolamento in funzione delle specificità ed esigenze di una tipologia di organizzazione.

Il contesto sanitario

Rispetto ad altri settori, il contesto sanitario presenta caratteristiche particolari, non solo per la criticità dei dati gestiti, ma anche perché è costituito da un insieme di strutture;

  • peculiari per la loro attività e la loro missione etica e sociale
  • diverse ed eterogenee sotto il profilo organizzativo, clinico, dimensionale e tecnologico
  • autonome sotto il profilo organizzativo, sanitario e giuridico

ma, tuttavia, con necessità di interagire fra loro nella sempre maggiore evoluzione verso obiettivi di collaborazione, nell’interesse del sistema sanitario e del cittadino.

Queste esigenze di collaborazione rendono particolarmente importante la definizione di criteri comuni fra le diverse organizzazioni.

I partecipanti all’iniziativa

Per venire incontro a questa esigenza, l’Alta Scuola di Economia e Management dei Sistemi Sanitari (ALTEMS) della Università Cattolica del Sacro Cuore e la “Italian Community” dell’Healthcare Information and Management Systems Society (HIMSS), hanno promosso e coordinano una iniziativa finalizzata alla definizione di un codice di condotta per il contesto sanitario.

Per essere di reale utilità ed applicabilità, il codice deve sia tener conto delle molteplici e diversificate esigenze, sia basarsi su un ampio consenso da parte delle diverse tipologie di organizzazioni coinvolte.

Con questo spirito, hanno aderito all’iniziativa l’ Istituto Superiore di Sanità, la “Direzione generale della vigilanza sugli enti e sulla sicurezza delle cure” del Ministero della Salute, l’ “Assessorato politiche per la salute” della Regione Emilia Romagna, le principali associazioni sanitarie di rilevanza nazionale (quali AIOP, ARIS, FederANISAP, FederSanità, FIASO) nonché l’ Ordine dei Medici della Provincia di Roma, allo scopo di identificare le essenziali motivazioni cliniche necessarie per garantire la liceità e le finalità dei trattamenti dei dati personali.

Per facilitare la reale usabilità del codice validando l’aderenza di quanto previsto rispetto alle esigenze operative, collaborano attivamente anche alcune aziende sanitarie di diverse Regioni, particolarmente rilevanti sotto il profilo delle attività e delle dimensioni, quali la ASL di Foggia, la ASL Roma-1, la ATS Val Padana, la Azienda USL della Romagna e la Azienda USL Toscana sud est.

 Infine, con la partecipazione di Cittadinzattiva, si intende tener conto del ruolo sempre più rilevante dei cittadini stessi, intesi non solo come soggetti “passivi” interessati dai trattamenti, ma anche come interlocutori continui nel processo sanitario e proprietari/gestori dei propri dati personali.

Definizione modulare

ll codice verrà elaborato secondo un approccio modulare ed incrementale, affrontando le singole tematiche in fasi e secondo criteri di priorità, in modo da poter ottenere risultati singolarmente utilizzabili in tempi più brevi, garantendo comunque la coerenza finale del codice in tutte le sue parti.