Il ruolo del Data Protection Officer in un’organizzazione sanitaria

di | 16 November 2016
0 commenti

I dati sanitari sono trattati in un dominio tecnologico molto complesso, spesso condizionato dalla presenza di eccezioni. Queste deroghe alla gestione standard dei processi aggiungono costi, complessità e ridondanze nel sistema, a scapito del buon funzionamento delle organizzazioni sanitarie.
Il contesto normativo, inoltre, non fornisce degli strumenti adeguati ad aggredire le criticità sopraelencate: lo scenario in continuo cambiamento ostacola una gestione organica e a lungo termine del dato clinico, spingendo le organizzazioni sanitarie a considerare la protezione dei dati degli assistiti quasi come un ostacolo all’esecuzione delle procedure cliniche. Di conseguenza, la protezione dei dati sanitari viene esclusa dal core business e ciò, purtroppo, rende questo ambito dipendente dalla tecnologia. Per questo motivo, in molte realtà la responsabilità della sicurezza delle informazioni è affidata al solo Chief Information Officer. Questo attore non è la figura adatta assolvere questo compito: egli assicura l’erogazione dei servizi, l’automazione, l’innovazione, l’efficienza: non la sicurezza del dato. L’efficace gestione della sicurezza del dato sanitario, infatti, dovrebbe presupporre una visione indipendente, olistica e di alto livello dei processi aziendali, in un quadro strategico standardizzato e semplificato orientato ad assicurare la conformità normativa, l’aderenza ai framework ed agli standard di sicurezza, la protezione dai rischi. Inoltre, come sancito dal General Data Protection Regulation 2016/679 (Art. 38, Posizione del responsabile della protezione dei dati, comma 6), la figura di riferimento per la protezione dei dati, il Data Protection Officer, dovrebbe essere una figura al di sopra di ogni conflitto di interesse e non dovrebbe quindi essere dipendente dalla tecnologia.
L’attività da svolgere risulta notevole. Per questi motivi, è evidente che la soluzione più idonea a per gestire questo ambito sia l’istituzione di una struttura interna dedicata, composta da un team di esperti certificati nel campo legale e nella sicurezza informatica.
Molto probabilmente, gran parte delle energie iniziali sarebbero profuse nel rimuovere le opposizioni a questo cambiamento, spesso legate all’esistenza di vincoli tecnico/operativi e volontà manageriali nel mantenere in vita l’attuale sistema burocratico ed organizzativo.

Categoria: Data Protection Officer Tag: ,

Informazioni su Giampaolo Franco

Giampaolo Franco, degree in Computer Science, Certified Information Security Manager (CISM). Dr. Franco has more than 10 years of experience in governance, risk management, and compliance at Azienda Provinciale per i Servizi Sanitari (APSS, the main healthcare provider of the Autonomous Province of Trento). He is involved in several activities at APSS, including business continuity and disaster recovery, risk analysis, privacy compliance, awareness, internal / external audits, incident management, optimization and quality control of IT processes. Previous work experiences include project management, analysis and programming for several financial institutions. He has also been a consultant for the University of Trento, working in a project aimed to define organizational and security aspects related to the introduction of integrated models of digital teaching in school. Dr. Franco continues to pursue research, education and awareness activities related to information security for the Public Administration with remarkable passion and leadership. He is a member of the ISACA VENICE Chapter, Oracle Community for Security and contributor of Europrivacy. In 2016 he's the winner of the European Institute of Innovation & Technology - EIT Digital pre-incubation programme with a project on Art&Technology.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.