Nel valutare l’adeguato livello di sicurezza, le RSA devono tener conto, in special modo, dei rischi presentati dal trattamento, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32 del Regolamento (UE) 2016/679).
La vigente normativa privacy ha stabilito due principi fondamentali: da un lato, la sensibilità e la consapevolezza da parte delle RSA nell’ambito del trattamento dei dati personali dei residenti; dall’altro lato, invece, la responsabilizzazione, sia delle RSA, sia del personale incaricato socioassistenziale che trattano i dati personali nonché sensibili dei residenti.
Secondo l’Istituto Superiore di Sanità, nel periodo 2020-2022, nelle residenze sanitarie assistenziali (RSA), sono aumentati del 1,8% i ricoveri in strutture residenziali. Tra febbraio e maggio 2021, invece, il numero di decessi è pari a 9.154. Di conseguenza, il trattamento dei dati personali nonché sensibili – contenuti nelle cartelle cliniche dei residenti – è parte della realtà operativa di tutte le RSA.
La necessità di formare e di trasmettere sensibilità e responsabilità al personale coinvolto nel trattamento dei dati personali dei residenti nonché tutti gli elementi utili ad effettuare un trattamento conforme.
La protocollazione e la gestione, cartacea e informatica, dei dati oggetto di trattamento costituisce uno dei problemi più frequenti nelle RSA. Non tutte hanno adottato un piano di conservazione o sono a conoscenza della possibilità di poter seguire una procedura di scarto ad hoc.
Numerose sono le richieste di esercizio di diritti e le istanze di accesso e di rilascio di copia delle cartelle cliniche pervenute nelle RSA nel corso degli ultimi mesi. La cartella clinica – diario giornaliero nel quale gli operatori sanitari registrano tutte le informazioni riguardanti lo stato di salute di un paziente, la diagnosi, le terapie, le analisi e gli accertamenti strumentali cui esso viene sottoposto – è ritenuta documentazione pubblica di fede privilegiata.
Qualora la violazione comporti un rischio elevato per i diritti delle persone, le RSA devono essere in grado di comunicare a tutti gli interessati dell’accaduto, delle misure implementate per ridurre l’impatto ed eventualmente (ove necessario) effettuare la comunicazione all’Autorità Garante.
L’attività principale delle RSA consiste nel trattamento di dati sensibili relativi alla salute. Per questo motivo è fondamentale il supporto del DPO, che verificherà l’attuazione delle norme, assisterà le RSA in merito alla valutazione d’impatto sulla protezione dei dati e fungerà da punto di contatto tra l’autorità di controllo e gli interessati al trattamento.
Audit Periodici. Attività di verifica sul mantenimento e la conformità dell’impianto predisposto
Aggiornamento documentale. Attività di predisposizione, elaborazione e aggiornamento della documentazione privacy.
Sostegno dell’enforcement. Sostegno alle RSA in caso di richieste di chiarimenti e ispezioni dell’Autorità Garante.
Assistenza e predisposizione di procedure ad hoc. Affiancamento delle RSA in presenza, contatto telefonico, gestione delle problematiche quotidiane ed elaborazione di piani di conservazione o di scarto.
Sviluppo di nuovi progetti. Privacy by Design, Privacy by Default, Accountability.