Come anticipato dalla collega della Regione, io mi occupo già da tempo all'interno dell'Azienda USL 5 di Pisa di applicazione della normativa sulla riservatezza dei dati; sono quindi il Referente Aziendale per la Privacy di quest'azienda.

Come già detto questa è una figura del tutto nuova rispetto alle previsioni della Legge 675, un vero e proprio valore aggiunto all'interno di una realtà complessa come quella dell'azienda sanitaria.

Questo perché, come ormai risaputo, se l'applicazione delle disposizioni della Legge 675/96 sull'organizzazione di un'azienda risulta comunque essere oneroso, quando l'applicazione va a riguardare un'Azienda Sanitaria i dubbi ed i problemi si moltiplicano

La Regione Toscana ha quindi ravvisato l'esigenza di un soggetto ad hoc per garantire un efficace applicazione delle disposizioni sulla privacy parallelamente al maturare della consapevolezza della non estemporaneità del quadro normativo che ha cominciato a prendere forma con l'introduzione di una serie di regole in tema di riservatezza dei dati e delle inevitabili ripercussioni all'interno di qualunque sistema organizzato.

- Presidiare costantemente le dinamiche ed i processi applicativi della normativa;

- garantirne l'intima congruenza con le altre disposizioni già varate dal legislatore in un'ottica di favore per il cittadino,

- permettere che l'applicazione delle disposizioni avvenga nel rispetto della specificità aziendale e nella massima tutela della particolarità dell'utente,

- cogliere l'occasione perché il rispetto di una norma diventi in realtà un'opportunità per un vero e proprio salto culturale, per una maggiore qualificazione degli operatori aziendali e del contesto tutto.

Tutto questo ci porta al Referente Aziendale per la Privacy

Come vada individuato questo professionista all'interno dell'Azienda non è di immediata percezione perché, da un lato, questo soggetto deve si avere una preparazione imprescindibile sul piano della normativa sulla riservatezza dei dati e delle altre disposizioni che con questa inevitabilmente interagiscono, ma dall'altro deve anche poter garantire, attraverso la conoscenza dei meccanismi di funzionamento dell'azienda in cui opera, la capacità di porsi in relazione e di coinvolgere in modo adeguato i vari livelli di responsabilità necessariamente coinvolti nelle problematiche della privacy.

Non è un caso che la Regione, si sia deliberatamente astenuta dal fornire indicazioni puntuali su come le Aziende dovessero procedere al loro interno all'individuazione del Referente; non si è inteso, in altri termini, privilegiare alcuna professionalità già costituita, ma si è confidato sulla capacità di ogni singola azienda di individuare un soggetto dotato della versatilità necessaria a consentire che le norme sulla riservatezza dei dati vadano a calarsi in una realtà complessa come quella della Azienda sanitaria odierna.

Sappiamo bene come la normativa sulla riservatezza dei dati, nella sua ratio più profonda, non sia di facile ed immediato impatto e che, generalmente, nelle organizzazioni che con questa normativa si devono confrontare, prevale la tentazione di concentrarsi maniacalmente sui singoli adempimenti piuttosto che cercare di rivedere sostanzialmente il proprio modus operandi.

La figura del Referente Aziendale è pensata per supportare, invece, un salto culturale e di qualità, necessario per non disperdere le risorse che necessariamente devono essere impegnate da ogni azienda per rispettare le disposizioni della legge 675 in uno sterile rispetto formale e non sostanziale delle esigenze dell'utente, qui visto sotto la veste di interessato, e quindi proprietario delle informazioni gestite dalle Aziende stesse.

Quali sono le direttrici nell'ambito delle quali questo professionista opera?

Innanzitutto all'interno dell'Azienda (questa almeno è la nostra esperienza come USL 5 ma crediamo che non sia poi così dissimile da quella degli altri colleghi qui presenti) il Referente Aziendale per la Privacy è stato individuato dalla Direzione Generale, su proposta della Direzione Amministrativa.

Al referente, in forme e con modalità rimesse all'autonoma determinazione di ciascuna direzione aziendale, deve essere garantito l'idoneo supporto e la necessaria collaborazione da parte di tutti gli altri soggetti aziendali allo scopo di assolvere ad una serie di funzioni sul versante esterno e interno all'azienda:

- supporto al Titolare del trattamento sia nei rapporti tra questi ed il Garante riguardo ai necessari adempimenti nei confronti di soggetti pubblici e privati derivanti dalla normativa in materia di privacy

- punto privilegiato di contatto con il livello regionale per quanto riguarda tutte le direttive afferenti la materia delle riservatezza dei dati e le inevitabili problematiche che da essa discendono anche in termini di ricadute sugli assetti organizzativi

- impulso e supporto ai Responsabili del trattamento di dati per la puntuale osservanza del regolamento aziendale in tema di privacy

- consulenza a livello dell'intera azienda sulle problematiche relative alla privacy

- tenuta ed aggiornamento del Censimento dei Trattamenti almeno semestralmente e comunque ogni volta si verifichino casi di variazione di taluno degli elementi rilevati (normativa di riferimento, modalità di trattamento, etc...) o qualora cambi il nominativo del Responsabile e/o dell'Incaricato,

- inserimento nel Censimento di trattamenti di dati attivati ex-novo e delle eventuali cessazioni di trattamenti in essere

- tenuta ed aggiornamento del basamento informativo aziendale, cioè dell'elenco delle banche dati sia informatizzate che cartacee gestite e custodite a livello aziendale

- tenuta ed aggiornamento dalla banca dati "Responsabili e Incaricati del trattamento dei dati" di diretta derivazione dal Censimento dei Trattamenti

- veicolazione dei contenuti della normativa sulla riservatezza dei dati verso il contesto aziendale e verso tutti gli altri soggetti comunque interagenti con l'Azienda (pensiamo a tutto il fronte rappresentato dai medici di famiglia e dagli altri soggetti operanti in regime di convenzionamento) sia con interventi mirati che con apposite iniziative formative così come anche previsto dal D.p.r. 318/99

- collaborazione con il Titolare e con i Responsabili del trattamento dei dati nella fase di impulso, proposta e stesura del Documento Programmatico per la Sicurezza, ovviamente in una logica pregnante di doverosa cooperazione con il livello informativo-informatico dell'azienda

- monitoraggio, con verifiche concordate periodicamente, dell'efficacia delle misure di sicurezza programmate con il Documento Programmatico per la Sicurezza tanto più nella logica dell'accezione allargata che di questo documento è invalsa nell'esperienza toscana, nella quale vengono inserite non solo le misure a tutela delle banche dati informatizzate ma anche quelle a tutela delle banche dati cartacee in una visione complessiva e di sistema delle problematiche della sicurezza

- sviluppo ed esplosione delle potenzialità della documentazione Censimento dei Trattamenti per il rispetto delle disposizioni di cui all'art del D.lgs 135/99, con implementazione e tenuta di un meccanismo che ponga l'azienda in grado di operare costantemente quell'autovalutazione circa la pertinenza e non eccedenza dei dati utilizzati rispetto alle finalità perseguite con i singoli trattamenti e di assolvere al debito informativo verso i soggetti interessati circa la tipologia dei dati utilizzati e le relative modalità di trattamento per ogni attività aziendale posta in essere

- ulteriore sviluppo della documentazione relativa al Censimento dei Trattamenti, alla luce delle disposizioni del Dpr 318/99, per l'impianto e il mantenimento di una lista utenze, sul presupposto del necessario rapporto collaborativo con il livello informativoinformatico dell'azienda, al quale vengono veicolate le esigenze tecniche rappresentate dal Responsabile al Referente, che qui funge da vero e proprio punto di confluenza e raccordo per tutte le questioni, anche tecniche, che possono riguardare il "pianeta privacy "

Tutto ciò che è stato detto finora è quello che la Regione si aspetta dal Referente Aziendale per la Privacy; ma in realtà, alla luce dell'esperienza ormai consolidata della USL 5 di Pisa che cosa si può dire realmente riguardo a questa nuova professionalità??? Come è stata vissuta nel contesto organizzativo e come si è integrata nel corpus dell'azienda?

Posso dire che la reazione iniziale è stata permeata da quella diffidenza che generalmente circonda ogni nuova funzione in un contesto aziendale già assestato, nel caso di specie non è stata colta sin dall'inizio la valenza propriamente collaborativa e di supporto intrinsecamente connessa a questa figura della quale si è invece sul momento colto più l'aspetto inquisitorio e pedantemente burocratico; tradotto sul piano operativo ciò ha comportato una certa resistenza, ad esempio, alla compilazione della documentazione necessaria per la messa a regime del Censimento dei trattamenti, che veniva percepito quasi come modalità indiretta di rilevazione dei carichi di lavoro all'interno delle strutture aziendali.

Col tempo e con il maturare crescente da parte dei colleghi della consapevolezza circa l'inevitabile immanenza dei profili legati alla riservatezza all'interno del contesto organizzativo di appartenenza, il ruolo del Referente Aziendale per la Privacy è stato visto sotto un'altra luce, quella di un riferimento costante di cui avvalersi nell'operatività del quotidiano ogni volta che vi sia un'incertezza, sia che questa derivi da un dubbio terminologico, dalla difficoltà di comprendere appieno il significato dei ruoli introdotti dalla normativa e delle funzioni ad essi collegate, o dalle incertezze nell'affrontare casi pratici, viste anche le inevitabili interrelazioni con la normativa dell'accesso di cui alla Legge 241/90 sulla trasparenza dell'attività amministrativa.

E, ad oggi, grazie anche all'importante percorso formativo di cui alla relazione della Responsabile della U.O. Sviluppo, Ricerca e Formazione, Dr.ssa Marcella Filieri, che ha inquadrato la funzione del Referente Aziendale per la Privacy nell'ottica corretta, si può dire che ormai all'interno dell'Azienda Sanitaria Usl 5 di Pisa si è consolidato il ruolo del Referente, e si è capito il suo valore di supporto e di consulenza, alla quale si ricorre con frequenza ed assiduità

Tutte queste diciamo così "richieste di aiuto" rivolte al solo soggetto aziendale depositario delle conoscenze sulla riservatezza dei dati costituiscono l'espressione, a parer mio, di un ormai consapevole disagio degli operatori chiamati quotidianamente nell'ambito dei loro abituali compiti d'istituto a misurarsi con i risvolti pratici dell'applicazione della normativa della Legge 675/96.

Quanto appena detto conferma appieno la lungimiranza della scelta operata dal Dipartimento del Diritto alla Salute della Regione Toscana nell'introdurre questa nuova professionalità all'interno del sistema sanitario toscano, prefigurando, in sostanza, un vero e proprio modello esportabile in tutti gli ambiti organizzativi complessi sui quali vada a impattare la normativa sulla riservatezza, senza distinzione alcuna.