Andrea Pasi
Laureato in Giurisprudenza presso l'Università di Bologna e successivamente abilitato all'esercizio della professione forense, l'avvocato Andrea Pasi ha conseguito un master di specializzazione sul ruolo del Data Protecion Officer (Responsabile della protezione dei dati personali) nel settore sanitario. Oggi è socio fondatore e privacy manager di Lexim, società di consulenza legale per le imprese.
Lo abbiamo intervistato per capire come, al giorno d'oggi, cliniche specializzate, ospedali privati o accreditati al pubblico debbano relazionarsi in merito al trattamento dei dati sia nella consueta attività medicale, sia in tema di marketing.
«Gentile Avvocato Pasi, la ringrazio per il tempo che ci ha dedicato. Come prima cosa le chiedo di cosa si occupa e che ruolo ricopre in Lexim»
Mi occupo di privacy e protezione dati personali in ambito business e digital. Il mio compito consiste nell'assistenza ad aziende e professionisti ad attuare le politiche previste dal GDPR.
Nel dettaglio, effettuo sopralluoghi finalizzati all'analisi dei processi aziendali nei quali vengono trattate informazioni relative a persone fisiche, mi occupo di redigere la modulistica relativa ai diversi soggetti coinvolti nelle operazioni di trattamento dei dati, predispongo la documentazione necessaria in ottica di accountability e supporto i titolari delle aziende e i responsabili del trattamento dei dati nella risoluzione di problematiche attinente la sfera di protezione degli stessi.
«La multicanalità della comunicazione, al giorno d'oggi, ha aperto per le aziende la possibilità di farsi conoscere tramite diversi mezzi. Quanto e perché è importante, in ambito medicale, che le strutture sanitarie conoscano adeguatamente le normative e le linee guida ministeriali che regolano quest'attività?»
Con lo sviluppo delle nuove tecnologie la mole di informazioni personali riferite agli utilizzatori delle diverse piattaforma è cresciuta in modo esponenziale: secondo i risultati forniti da IBM, il 90% dei dati disponibili nel mondo sono stati prodotti negli ultimi 5 anni. Una volta elaborati e profilati, questi dati possono essere utilizzati per direzionare le campagne comunicative e di marketing verso la clientela potenzialmente interessata. Ciò rappresenta una forte ingerenza nella sfera privata dei consumatori.
I legislatori nazionali e internazionali hanno, negli anni, previsto una serie di regole a tutela delle persone fisiche durante la navigazione online, per fare in modo che le informazioni a esse riferite vengano raccolte previo consenso e nel rispetto della privacy. Privacy che diventa ancora più stringente quando profilazione e marketing hanno come oggetto quelli che il GDPR definisce "particolari categorie di dati personali", tra le quali le informazioni relative allo stato di salute di una persona.
«Per le strutture sanitarie, come ha appena accennato, il tema relativo alla gestione della privacy e dei dati sensibili dei pazienti è particolarmente gravoso. Quali sono i problemi più frequenti che insorgono a tal proposito?»
Una struttura sanitaria oggi deve procedere a un’attenta analisi di tutti i trattamenti di dati personali effettuati. Non si tratta solo di quelli che riguardano i pazienti per finalità di cura, ma anche quelli collaterali.
Dal punto di vista privacy, infatti, la vita del paziente nella struttura sanitaria ha diverse fasi:
• Inizia con una fase preliminare, quando si affaccia ai servizi in qualità di prospect. Qui la struttura sanitaria deve disciplinare il trattamento dei dati personali, comuni o particolari, non ancora per finalità di cura, ma per la gestione precontrattuale del rapporto e, qualche volta, per finalità di marketing.
• Successivamente il rapporto si modifica, l’interessato da prospect diventa paziente: in questa fase occorre disciplinare il trattamento dei dati personali in tutti i suoi aspetti e principalmente dal punto di vista della sicurezza della conservazione delle informazioni sanitarie, della tutela della riservatezza dell’individuo e degli accessi e autorizzazioni alle informazioni da parte degli operatori sanitari.
• Dopo la dimissione del paziente, o anche in caso di decesso dello stesso, non cessano gli obblighi in tema di privacy per la struttura sanitaria. Permarrà un obbligo di conservazione della documentazione, in primis della cartella clinica, con modalità che possano rispettare i dettami normativi, nonché un obbligo di disciplinare eventuali accessi a tale documentazione verificando la legittimità di chi avanza richieste in tal senso.
Parallelamente alla regolamentazione dei rapporti con il paziente, la struttura sanitaria dovrà poi disciplinare i rapporti con i fornitori cui eventualmente dovesse affidare parte delle operazioni di trattamento dei dati personali, nonché con il personale provvedendo a nominare gli incaricati o responsabili del trattamento e a predisporne i livelli di accesso alle informazioni, nel pieno rispetto dei principi fondamentali della normativa, garantendo la pertinenza e non eccedenza delle informazioni consultabili e la minimizzazione dei dati personali sottoposti a trattamento.
«In che modo è mutata l'attività per cliniche e ospedali privati dopo l'entrata in vigore del GDPR?»
Il Regolamento europeo ha introdotto nuove modalità per realizzare la compliance di una struttura, anche sanitaria. In particolare chi opera nella sanità dovrà rapportarsi con particolare diligenza al nuovo principio introdotto dal GDPR, ovvero quello dell’accountability, ovvero di responsabilizzazione del titolare .
Il Titolare del trattamento sarà costantemente chiamato a operare sulle modalità e sulla legittimità di specifici trattamenti, con la necessità di mediare tra i diritti che la legge riserva agli interessati, gli obblighi imposti dalla normativa e la volontà di garantire il pieno svolgimento delle attività di cura, in modo snello ed efficiente, nella struttura.
Nello stabilire quale sia l’assetto migliore per realizzare tale bilanciamento, il Titolare inevitabilmente dovrà assumere precise responsabilità in ordine alle modalità di svolgimento del trattamento dei dati personali, che dovranno risultare sostenibili e equilibrate ad un eventuale controllo dell’Autorità.
«Quanto e perché è importante, a tal proposito, poter contare su un supporto qualificato per svolgere a norma di legge tutte le attività legate al marketing sanitario?»
Risulta fondamentale, soprattutto in ambito medicale, che i Titolari sviluppino un focus privilegiato sulla disciplina in materia di privacy e protezione dei dati personali. L'affiancamento di partner specializzati sia in ambito giuridico che in quello tecnico-informatico è importante per implementare infrastrutture e protocolli idonei a salvaguardare la riservatezza delle informazioni personali raccolte e trattate nella gestione dei processi aziendali.
Cosa possiamo fare per le strutture sanitarie?
Siamo una delle poche agenzie italiane specializzate nel marketing sanitario e ci occupiamo di:
- Gestire le Comunicazioni
- Inbound Marketing
- Supporto Legale
Impostiamo un sistema centralizzato per gestire tutti i canali comunicativi dalla tua struttura, permettendoti di ottimizzare i flussi. Risultato? Non perderai mai più un contatto!
Studiamo insieme la giusta strategia di Inbound Marketing, per permetterti di aumentare il numero di visitatori al tuo sito internet, convertirli in nuovi clienti e fidelizzare i tuoi contatti.
Supportiamo la parte legale, verificando che tutte le attività di marketing siano conformi ai requisiti legali italiani ed europei in merito alla compliance GDPR.
