Nell’ambito delle strutture sanitarie una delle modalità con cui può essere verificata la conformità dei processi aziendali alla normativa sulla protezione dei dati è attraverso gli audit. Il termine to audit significa “rivedere”, “controllare”, ma deriva per estensione dal verbo latino audire, “ascoltare” e, pertanto, l’audit si configura come una leva attuativa del miglioramento continuo per il governo dei processi svolti dalle organizzazioni rispetto alle diverse aree di interesse. Indipendentemente dall’adozione di un sistema di gestione certificato da parte della struttura sanitaria, per la verifica degli adempimenti cogenti relativi alla normativa sulla protezione dei dati può essere estremamente efficace adottare la metodologia descritta nella 19011:2018 “Linee guida per gli audit sui sistemi di gestione”, con l’adozione di qualche accortezza in più. Sebbene infatti tra la normativa cogente e volontaria esistano diversi punti di contatto, quali ad esempio l’approccio basato sul risk based thinking, gli obiettivi e i criteri delle verifiche e degli audit sulla privacy possono essere differenti o, comunque, complementari.
Indice degli argomenti
L’approccio all’audit privacy
Uno degli aspetti più complessi del ruolo di responsabile della protezione dei dati (DPO) è saper esercitare la propria funzione di controllo bilanciando risolutezza e spirito collaborativo, rigore e sensibilità, mai eccedendo in una o nell’altra direzione.
Nel suo dovere di sorvegliare il rispetto della normativa applicabile in materia di protezione dei dati[1], l’atteggiamento rappresenta infatti un fattore chiave di successo per il DPO, uno strumento per scardinare eventuali resistenze di alcuni interlocutori.
La buona comunicazione deve esservi sin dalla fase preliminare, allorquando il DPO illustra al titolare del trattamento come svolgerà la propria attività e definisce, proprio di concerto con il titolare, gli obiettivi di protezione e sicurezza dei dati da raggiungere.
Si tratta di una fase antecedente a quella della verifica, ma che risulta importantissima per diffondere all’interno della struttura sanitaria la cultura della protezione dei dati, allontanando quei vecchi retaggi che portavano a considerare la privacy come un banale adempimento di forma da aggiornare di tanto in tanto.
Diversamente, il nuovo sistema della protezione dei dati (in particolare attraverso il principio di accountability) richiede un approccio basato sul cosiddetto sistema PDCA (o ciclo di Deming): Plan, Do, Check, Act: pianificare le azioni, attuare il piano, controllare l’efficacia delle azioni intraprese e imparare dall’esperienza. Il tutto sempre in un’ottica di risk-based thinking, ovvero valutando le priorità e gestendo i rischi in modo sistematico, strutturato e proattivo.
In quest’ottica, nella fase di verifica, un comportamento orientato all’ascolto attivo da parte del DPO e l’applicazione delle tecniche di audit descritte nella ISO 19011:2018 favoriscono un processo di comunicazione efficace finalizzato non alla ricerca del “colpevole”, ma alla massimizzazione del senso di responsabilità associato al ruolo. Infatti, stante la cogenza dei requisiti richiesti nell’ambito della protezione dei dati, l’atteggiamento del DPO e l’attuazione di un efficace processo di comunicazione, possono creare nelle persone coinvolte nella verifica una sensazione di “partecipazione” e una accresciuta consapevolezza del valore e del grado di conformità a quanto previsto dalla legge, piuttosto che la sensazione di aver “subìto” un controllo.
Da dove partire: programmi e piani
Seguendo la logica dell’approccio basato sul rischio della ISO 19011:2018, il DPO, nella programmazione degli audit, ovvero nella fase di organizzazione dell’intero programma delle verifiche, potrà fare affidamento su:
- Assessment condotti precedentemente dal titolare del trattamento;
- Registro dei trattamenti e relative valutazioni del rischio (che volendo comparare con i sistemi di gestione, costituiscono le “informazioni documentate[2]” del sistema privacy).
Assessment e registro consentono al DPO di avere una mappatura totale dei processi della struttura sanitaria e di quello che è stato il percorso di adeguamento al Regolamento UE 2016/679 ed ulteriore normativa applicabile. Attraverso questa documentazione è semplice individuare i trattamenti più delicati, in modo da concentrare (preliminarmente) le verifiche e le attività di monitoraggio lì dove il rischio per i diritti e le libertà degli interessati è più alto.
La programmazione delle verifiche (programma di audit) non va confusa con il piano di audit, che ha la finalità di gestire la singola attività di verifica, individuandone obiettivi, criteri, estensione e funzioni impattate e di condividerli con le funzioni interessate.
All’interno di una struttura sanitaria, pertanto, volendo fare un esempio concreto, il programma di audit comprenderà tutte le attività di verifica organizzate in base alle valutazioni sopra riportate, ovvero audit su: gestione delle prestazioni ambulatoriali, gestione delle prestazioni di ricovero, gestione delle attività di pronto soccorso, e così via.
Il piano di audit, diversamente, coinvolgerà uno dei trattamenti sopra riportati e determinerà in modo specifico quelli che sono i dettagli operativi e il quadro giuridico di riferimento. Ad esempio, rispetto alla gestione delle prestazioni ambulatoriali, il piano di audit potrebbe prevedere una prima fase di esame documentale (procedure, istruzioni operative, ecc.) ed una seconda più incentrata sul servizio erogato, volta a verificare il flusso di ingresso del dato all’interno della struttura, la raccolta dei consensi –ove necessario– (DSE[3], FSE[4], ulteriori consensi opzionali), la conservazione e cancellazione; in sostanza la verifica coinvolge l’intero ciclo di vita del dato per lo specifico servizio erogato.
Tornando dal programma di audit, al fine di promuovere un approccio integrato al risk management aziendale, nel caso di strutture sanitarie dotate di sistemi di gestione conformi alla ISO 9001:2015 potrebbe essere opportuno, soprattutto quando il DPO sia interno (e quindi dedicato quotidianamente alla struttura sanitaria), integrare le attività di programmazione ed effettuazione degli audit con quelli previsti dalla funzione che si occupa del sistema qualità. Fermo restando che la verifica del DPO deve essere comunque indipendente da quella della qualità, in quanto risponde a dei criteri diversi, laudit congiunto può avere dei vantaggi in termini di riesame multidisciplinare delle evidenze della verifica, di ottimizzazione dei tempi e dei costi per lorganizzazione e di individuazione di elementi di conformità e di eventuali non conformità[5] che possano essere comuni o comunque correlate.
Conduzione dell’audit privacy
Obiettivo della verifica, soprattutto se impostata sull’intero sistema privacy, è valutare se quest’ultimo sia adeguato, funzionante ed efficace. Pertanto nella conduzione dell’audit il DPO deve far percepire alle funzioni auditate nel contempo l’importanza della sua funzione di controllo, che può costituire un valore aggiunto per migliorare l’intero svolgimento dell’attività, e la centralità del contributo dei partecipanti.
Allo scopo di garantire la sistematicità del processo di verifica, in termini di continuità, ripetibilità ed efficacia dello stesso, il DPO dovrà fondare la verifica sui contenuti dei rapporti di audit e sugli eventuali rilievi emersi negli audit precedenti, anche al fine di valutare se le correzioni e le azioni correttive[6] implementate siano da considerarsi efficaci per chiudere le non conformità.
Nell’effettuazione dell’attività di audit il DPO deve ascoltare con cura i soggetti auditati, come anticipato precedentemente, dimostrando un atteggiamento di apertura, mai troppo rigido né troppo comprensivo.
A tal fine deve provvedere ad eliminare e gestire eventuali barriere esistenti nella comunicazione con linterlocutore di tipo fisico (es. rumore ambientale), psicologico (es. legate al diverso ruolo in struttura del DPO e della funzione auditata) o intellettuale (es. legate alla differente conoscenza della materia o alla scolarizzazione) anche attraverso l’effettuazione di una riunione iniziale preliminare alla conduzione dell’audit.
La raccolta delle evidenze oggettive in fase di audit può essere svolta mediante intervista, con il campionamento di documenti e con l’osservazione diretta dello svolgimento delle attività da parte delle funzioni auditate.
Le interviste devono essere svolte in maniera “colloquiale”, evitando domande chiuse e proposte con ritmi serrati, e favorendo la conversazione rispetto agli argomenti oggetto della verifica. Questa modalità ha il vantaggio di creare un buon clima e di mettere a proprio agio gli interlocutori e di far emergere eventuali tracce di audit che permettano di verificare la conformità dei processi in materia di protezione dei dati anche al di là del singolo adempimento oggetto di verifica e, soprattutto, il grado di consapevolezza degli intervistati.
La gestione della verifica privacy
In fase di gestione di una verifica privacy, l’utilizzo di checklist è una buona prassi, in quanto consente di gestire efficacemente il tempo, organizzare le informazioni e garantire la completezza dell’attività svolta, ma deve essere utilizzata in modo tale da non ostacolare il processo di comunicazione. A tal fine è bene utilizzare checklist che non siano né troppo generiche né troppo dettagliate e che contengano dei campi aperti su cui annotare le evidenze oggettive verificate (es. documento esaminato, data di aggiornamento ecc).
Con precisione, professionalità, obiettività e accuratezza, il DPO deve raccogliere dati e informazioni non perdendo però mai di vista che l’audit oltre che un momento di verifica di attuazione di procedure e prassi che rispondono a requisiti normativi è un’occasione di crescita professionale e di formazione per tutti i partecipanti.
Reportistica e chiusura della verifica
Al termine dell’attività di verifica il DPO deve redigere il report di audit, da condividere con le funzioni auditate.
Sebbene la comunicazione sia un processo continuo durante tutta la verifica, è bene porre particolare attenzione alla presentazione dei risultati.
Il report di verifica deve riepilogare le informazioni relative allo svolgimento dell’audit (es. processi o attività oggetto di audit, obiettivo dell’audit ecc) e deve essere redatto in maniera da essere funzionale per i soggetti che lo ricevono. È bene, pertanto, realizzare report chiari, concisi, con riferimenti precisi e che risultino leggibili e fruibili.
Gli esiti della verifica devono essere illustrati dal DPO evidenziando prima gli aspetti positivi e poi gli eventuali elementi oggetto di non conformità e chiarendo eventuali dubbi delle funzioni auditate.
La definizione delle azioni correttive può essere comunicata dalle funzioni auditate al DPO entro i tempi previsti dallo stesso.
L’auspicio è che la conclusione di una verifica svolta secondo quanto sopra descritto, stimoli nei partecipanti un comportamento coopetitivo e non competitivo nei confronti della funzione ricoperta dal DPO, con un atteggiamento collaborativo pur nel rispetto della diversità dei ruoli.
Conclusioni
Il sistema privacy vigente non si può più definire “nuovo”. È passato ormai quasi un lustro dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 e sono trascorsi già due anni dal momento in cui è divenuto applicabile. Le organizzazioni (medie, grandi o piccole) dovrebbero aver messo in campo i presidi necessari per adeguarsi alla normativa vigente.
Eppure c’è ancora molto da lavorare (ed anche da imparare) per raggiungere il livello di consapevolezza e cultura della protezione dei dati che la normativa richiederebbe.
È soprattutto per tale motivo che le verifiche del DPO richiedono, più di tante altre attività di controllo, una particolare accortezza di quest’ultimo nel rapportarsi ai soggetti auditati.
L’importanza della condotta del DPO cresce in realtà aziendali come quelle sanitarie, dove a volte risulta complicato “educare” alla cultura della protezione dei dati quei soggetti che, nella loro missione di salvare vite umane, si ritengono autorizzati a poter sottovalutare una norma o una verifica.
Il buon funzionamento di una struttura sanitaria dipende dalla capacità di collaborazione totale di tutti gli attori, soprattutto di quelli protagonisti che hanno nelle proprie mani la vita dei pazienti; sono loro i primi da approcciare e rendere consapevoli del valore di tutta l’impalcatura normativa che regge l’azienda, in assenza della quale la loro stessa attività di cura rischierebbe di perdere efficacia, risultando priva dei necessari presidi.
Questa la più grande sfida del DPO: sorvegliare l’osservanza del Regolamento mantenendosi in equilibrio tra autorevolezza e spirito di collaborazione, utilizzando tutte le tecniche a disposizione per diffondere (anche attraverso gli audit) la consapevolezza; questa si ottiene allorché le persone comprendono le loro responsabilità e come le loro azioni possano contribuire al conseguimento degli obiettivi comuni ed al miglioramento continuo dell’organizzazione.
- Art. 39, comma I, lett. B) del Regolamento UE 679/2016, ai sensi del quale “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: […] sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. ↑
- L’espressione “informazione documentata” è stata introdotta come elemento della SAL (Struttura di alto livello dei Sistemi di Gestione) e, per questo motivo, risulta una caratteristica comune a tutte le norme di sistemi di gestione, nella versione più recente. Essa viene utilizzata per identificare qualcosa in grado di comunicare un messaggio, fornire evidenza, condividere conoscenze, ecc. ↑
- Dossier Sanitario Elettronico ↑
- Fascicolo Sanitario Elettronico ↑
- Per “non conformità” si intende il “mancato soddisfacimento di un requisito” (punto 3.6.11, ISO 9000:2015) ↑
- Per “azione correttiva” si intende un’ “azione per eliminare la causa di una non conformità e per prevenirne la ripetizione” (punto 3.12.2, ISO 9000:2015) ↑
