{"id":1730,"date":"2016-08-23T05:27:16","date_gmt":"2016-08-23T03:27:16","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1730"},"modified":"2016-08-23T05:27:16","modified_gmt":"2016-08-23T03:27:16","slug":"gdpr-in-healthcare-critical-issues-and-possible-solutions-part-ii","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/08\/23\/gdpr-in-healthcare-critical-issues-and-possible-solutions-part-ii\/","title":{"rendered":"GDPR in sanit\u00e0: criticit\u00e0 e possibili soluzioni – Parte II"},"content":{"rendered":"

Cambiare il DNA delle aziende<\/strong><\/p>\n

Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l’utilizzo di un approccio proattivo e predittivo.
\nSebbene il grado di sensibilit\u00e0 e percezione delle problematiche privacy appaia aumentato negli anni, non si \u00e8 riusciti a scalfire il “vecchio” modello organizzativo che, in mancanza di incisivi interventi, ha consolidato un approccio burocratico di privacy one time e “sulla carta”.
\nIl Data Protection Officer non pu\u00f2 essere un consulente “una tantum” poich\u00e9 deve ricoprire un ruolo stabile all’interno della struttura organizzativa al fine di prevenire le innumerevoli criticit\u00e0; un esempio: l’attivit\u00e0 di segnalazione in caso di data breach. Non sempre i soggetti si accorgono di aver subito una violazione dei dati personali, ma nel momento in cui ci\u00f2 avviene, segnalarlo potrebbe comportare danni di immagine e conseguenti perdite economiche dovute, oltre alle possibili sanzioni dell’Autorit\u00e0 Garante, ad una concreta perdita di fatturato. Non \u00e8 facile compiere o delegare tali decisioni in poco tempo.<\/p>\n

Favorire un maggiore coinvolgimento degli utenti<\/strong><\/p>\n

Uno dei problemi maggiori rimane legato al coinvolgimento ed aggiornamento degli stakeholders, spesso ancorati a pericolose correnti di pensiero che vedono nella privacy e nella sicurezza informatica una superflua “moda del momento”.
\nTutto il contesto lavorativo per\u00f2 presenta lacune: in primis i contratti ed i codici di comportamento aziendale, che devono essere adeguati con l’inserimento della data protection nei codici di condotta degli operatori, come ricordato dall’ art. 88 \u2013 Trattamento dei dati nell\u2019ambito dei rapporti di lavoro.<\/p>\n

Gestire correttamente le terze parti<\/strong><\/p>\n

L’impatto che le terze parti hanno sulla privacy e sulla data security \u00e8 notevole e purtroppo preso poco in considerazione. Molti casi di data breach sono stati causati da comportamenti ripetitivi ed errati delle terze parti quali: la gestione delle password non corretta, la mancata applicazione delle patch di sicurezza ai sistemi, l’applicazione di aggiornamenti software senza un test di sicurezza preventivo, la mancanza di misure minime di sicurezza.
\nCapita che alcune software house sviluppino i loro prodotti secondo i canoni di sicurezza e privacy solo se espressamente richiesto e remunerato dal cliente, nonostante ci\u00f2 sia previsto dalla normativa vigente. Sono dunque presenti sul mercato software non conformi alla normativa privacy. Ogni loro adeguamento in termini di sicurezza e compliance deve essere pagato, con conseguenti esborsi per le aziende, che a volte sono costrette a ripiegare su soluzioni meno costose e probabilmente meno sicure.<\/p>\n

Risorse e responsabilit\u00e0<\/strong><\/p>\n

Il General Data Protection Regulation si pone come obiettivo di allineare dal punto di vista della data protection tutti i Paesi della Comunit\u00e0 Europea.
\nAbbiamo visto come l\u2019applicazione di tale normativa comporti costi molto elevati, non sostenibili da tutte le aziende, ed infligga pesanti sanzioni a chi non ne esegua le direttive.
\nRisulta inoltre evidente come, anche da un punto di vista meramente economico, i Paesi della Comunit\u00e0 Europea stiano vivendo un periodo di forti cambiamenti che li pone su differenti livelli.
\nE\u2019 palese che l’applicazione uniforme del Regolamento, allo stato attuale, sia quantomeno complicata. A tal proposito \u00e8 emersa la necessit\u00e0 di erogare incentivi a favore delle Comunit\u00e0 svantaggiate per evitare un sistema incoerente e sbilanciato:
\n\u201cIl bastone e la carota.\u201d<\/p>\n

Nuove incombenze possono cambiare le modalit\u00e0 contrattuali.\u00a0Il General Data Protection Regulation stabilisce che anche il Responsabile di Trattamento risponda in maniera diretta davanti alla legge per danni da lui provocati. Ci\u00f2 \u00e8 positivo dal punto di vista della responsabilit\u00e0, perch\u00e9 il fornitore \u00e8 chiamato a tenere un comportamento pi\u00f9 idoneo, ma \u00e8 svantaggioso dal punto di vista economico.
\nI fornitori di servizi informatici oggi sono inquadrati come Responsabili esterni di trattamento: saranno disposti ad assumersi a costo zero responsabilit\u00e0 ed eventuali sanzioni?
\nCome gi\u00e0 suggerito da\u00a0esperti autorevoli di questo forum, si dovranno rinegoziare tutti i contratti di fornitura e si dovr\u00e0 ripartire diversamente la catena delle responsabilit\u00e0, aggiungendo ulteriori costi ad ogni trattamento.<\/p>\n

Alcune possibili soluzioni<\/strong><\/p>\n

Per favorire una corretta relazione tra cittadino ed aziende pubbliche e private, sarebbe opportuno che gli Stati membri promuovessero un’intensa e capillare attivit\u00e0 di sensibilizzazione in entrambe le direzioni.
\nPer quanto riguarda le aziende, ci si dovrebbe, sin da ora, dotare di una struttura interna di alto livello in grado di governare costantemente sicurezza informatica e privacy, al fine di definire strategie, politiche, percorsi di formazione del personale.
\nTali figure dovrebbero essere coinvolte in tutti i processi chiave aziendali.
\nL\u2019istituzione di campagne di sensibilizzazione sulla security awareness aziendale aiuterebbe gli operatori a non percepire la privacy come un ostacolo alle attivit\u00e0.
\nLe terze parti dovrebbero essere gestite mediante efficaci processi di IT change management, al fine di garantire compliance e riduzione del rischio di data breach.
\nIn ogni caso, per meglio amministrare questo complesso sistema, riducendo costi ed abbattendo la superficie di rischio, sarebbe bene seguire un vecchio ma pur sempre efficace principio: “Semplificare!”.<\/p>","protected":false},"excerpt":{"rendered":"

Cambiare il DNA delle aziende Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l’utilizzo di un approccio proattivo e predittivo. Sebbene il grado di sensibilit\u00e0 e percezione delle problematiche privacy appaia aumentato negli anni, non si \u00e8 riusciti a scalfire il “vecchio”\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":170,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"class_list":["post-1730","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1730","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/170"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1730"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1730\/revisions"}],"predecessor-version":[{"id":1734,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1730\/revisions\/1734"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1730"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1730"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1730"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}