L'Ufficio Privacy e la cultura della riservatezza
nell' Azienda USL5 di Pisa

La Legge 675/1996 ha inserito nel contesto normativo il diritto alla riservatezza del dato personale, come un insieme di regole d’uso delle informazioni tendenti ad evitare che un loro uso scorretto possa danneggiare o ledere i diritti, le libertà fondamentali e la dignità delle persone interessate.

L'applicazione di tali disposizioni per quanto riguarda le Pubbliche Amministrazioni, che comunque godono di un regime derogatorio loro riservato, è , ad oggi, ancora lacunosa e incompleta. Nel campo poi delle Aziende Sanitarie ciò è aggravato da una evidente constatazione: a differenza di altri settori della Pubblica Amministrazione, in questo la totalità degli operatori impegnati utilizza per l’attività di competenza informazioni delicate da gestire, come quelle sulla salute.

Per applicare le disposizioni sulla riservatezza dei dati l’Azienda USL5 di Pisa ha attivato un particolare percorso operativo che, superando il livello puramente adempitivo di rispetto della norma, si sforza di garantire veramente la sfera di riserbo che il cittadino-utente ha diritto di vedersi assicurata.

Allo scopo, innanzitutto, è stato predisposto un Regolamento che delinea l'organizzazione aziendale in materia di privacy. Con questo si attiva anche una specifica articolazione aziendale, l'Ufficio Privacy, con compiti di supporto per le varie figure coinvolte (Titolare, Responsabili ed Incaricati al trattamento dei dati), di formazione e consulenza in materia e di tenuta e gestione di appositi documenti e strumenti.

È stato attivato un percorso formativo a carattere permanente di tutti gli operatori aziendali, distinto per livello di responsabilità, che faccia maturare in azienda una nuova cultura di rispetto verso i dati dell'utenza.

Sono predisposti e tenuti continuamente aggiornati appositi strumenti di rilevazione dei trattamenti dei dati svolti anche ai fini del rispetto del D.Lgs.135/1999.

Sono in fase di implementazione e completamento le procedure per rendere conoscibile all'utenza anche per via elettronica tutte le informazioni concernenti l'applicazione dei diritti ex Legge 675/1996 in ambito aziendale, nell'ottica del rispetto di quanto innovato in materia di riservatezza dei dati con il D.Lgs.467/2001.

L'USL5 di Pisa si è posta l'obiettivo di tutelare il diritto alla privacy dell'utenza attraverso un sistema permanente di presidio della riservatezza, le cui azioni principali sono consistite nel:

- Definire i diversi livelli di responsabilità coinvolti nell'applicazione delle disposizioni sulla privacy.

- Strutturare una articolazione interna all'Azienda che svolga funzioni di sostegno per gli adempimenti e di accentramento e soluzione di tutte le problematiche che possono scaturire dal contemperamento della normativa sulla privacy con le altre normative vigenti.

- Formare in ambito aziendale gli operatori per la creazione di una cultura del rispettoverso l'utente.

- Consentire all'utenza la visibilità del percorso aziendale in tema di privacy e rendere evidente chi fa cosanell'uso delle informazioni degli utenti.

Il progetto si è svolto secondo le seguenti fasi:

1-Studio e impostazione della regolamentazione aziendale in tema di riservatezza dei dati e costituzione di una struttura aziendale di riferimento;

2-Attivazione di un programma di formazione per i Responsabili e gli Incaricati del trattamento dati;

3-Attivazione e gestione di strumenti di rilevazione dei trattamenti di dati gestiti in ambito aziendale;

4-Nomina come Responsabili o Incaricati del trattamento anche dei soggetti esterni che gestiscono dati per mandato dell’Azienda;

5- Studio e impostazione del Regolamento aziendale sulla video-sorveglianza e sull'uso delle apparecchiature informatiche;

6-Censimento banche dati gestite;

7-Attivazione del link Privacy sul sito aziendale per mettere a conoscenza l’utenza della regolamentazione interna, del percorso da attivare per presentare istanza ai sensi dell’articolo 13 della Legge 675/1996, dei trattamenti gestiti per settori di attività svolta e del tipo di dati e delle modalità di gestione;

8-Attivazione dei Percorsi di cortesia, dei protocolli aziendali per l'uso e la comunicazione di informazioni;

9-Indagine di gradimento sul rispetto della privacy nelle strutture aziendali rivolta all’utenza;

10-Realizzazione di un Convegno nazionale Privacy e diritto alla salute con l’intervento di esperti in materia di privacy e dell'Autorità Garante;

11-Progettazione e realizzazione di un corso regionale di formazione dei formatori rivolto a tutte le Aziende sanitarie della Regione Toscana su finanziamento della RegioneToscana.

Le attività formative si sono svolte anche con l'ausilio di un supporto didattico multimediale, il CD Privacy e sanità, in materia di disposizioni ex Legge 675/1996 in ambito sanitario,contenente sia le indicazioni e le nozioni necessarie per trasmettere e comunicare in modo opportuno sia le disposizioni di riferimento che le informazioni da trasmettere;

12-Revisione della modulistica aziendale in uso alla luce dell'applicazione del principio di pertinenza e non eccedenza nell'uso dei dati sensibili da parte delle Pubbliche Amministrazioni.

La costituzione del nuovo Ufficio Privacy e la conseguente predisposizione dei regolamenti e protocolli interni sulla riservatezza dei dati personali hanno contribuito fortemente alla diffusione di una cultura della riservatezza tra i circa 2000 operatori aziendali, ed hanno favorito un aumento della qualità e della confidenzialità dei servizi offerti all'utenza.

I destinatari diretti delle attività di consulenza e formazione dell'Ufficio Privacy che svolge per il personale dell'USL5 sono da individuarsi principalmente nella Direzione Aziendale e in tutti i gli operatori aziendali e tutti gli altri soggetti che, a qualsiasi titolo, svolgono attività di uso dei dati per mandato aziendale, quindi almeno 2000 dipendenti più gli incaricati non dipendenti e i responsabili non dipendenti (almeno altri 500-1000 soggetti).

Inoltre vanno considerati l'utenza e tutti gli altri soggetti, fisici e giuridici,dei quali l'Azienda gestisce dati (il bacino di riferimento è composto da i circa 300.000 cittadini, ovvero la popolazione residente nel territorio di competenza dell'Azienda).

Riguardo ai corsi di formazione che l'Ufficio Privacy svolge per altre Aziende sanitarie del territorio regionale i destinatari, invece, sono individuarsi tra i Responsabili del trattamento di dati e i 248 operatori aziendali appartenenti ai vari profili e ruoli. Mentre i discenti del Corso di formazione dei formatori sono stati 66 operatori aziendali appartenenti a vari profili e ruoli di alcune Aziende Sanitarie della Regione Toscana.

In futuro si prevede di erogare l'attività di formazione a tutti i dipendenti delle Aziende Sanitarie della Regione Toscana, circa 51.000 unità.

Nel corso dell'anno 2002 l’Ufficio Privacy ha svolto un'indagine di gradimento rivolta all’utenza per verificare il grado di soddisfazione percepito riguardo al percorso attivato in ambito aziendale. L'indagine è stata rivolta agli utenti dei reparti:Pronto Soccorso, Ostetricia e Ginecologia, Poliambulatorio del Distretto, Ambulatorio di Radiologia, Ambulatorio di Ortopedia, Reparto di Chirurgia. Complessivamente è stato interpellato un campione di 373 utenti. Il questionario somministrato ha riguardato: il rispetto della privacy, l'adeguatezza delle strutture per la tutela della dignità e l'intimità dell'utenza, il rispetto, da parte degli operatori, della riservatezza ed intimità dell'utenza nell'uso dei dati, la riservatezza come qualità del servizio e maggior rispetto verso l'utenza, le cose da migliorare per garantire una maggiore riservatezza, il sesso, l'età, il titolo di studio, ecc.. Dai risultati emerge che il rapporto operatore-utente sotto il profilo del rispetto della privacy è buono e che il persistere di alcune criticità deriva unicamente dalle caratteristiche strutturali dell'Azienda.

E' stata, inoltre attivata e svolta un'iniziativa convegnistica avente a tema il difficile rapporto tra privacy e diritto alla salute alla quale è intervenuta anche l’Autorità Garante per la Privacy. Durante il convegno i destinatari del progetto (operatori sanitari pubblici e privati, medici di famiglia, utenti e loro rappresentanti), bioeticisti, organi di stampa, giuristi, magistrati e rappresentanti del livello sanitario di diverse Regioni si sono confrontati e hanno preso in esame l’impatto del progetto dell'Azienda sul sistema sanitario, arrivando alla conclusione che il percorso attivato risulta essere esemplare in ambito nazionale. Gli elementi distintivi sono risultati la metodologia impiegata, le risorse e le professionalità dedicate.

Il progetto non comporta una riduzione dei costi del servizio offerto all'utenza ma un miglioramento della qualità percepita e una maggiore umanizzazione del rapporto operatore-utente alla luce del maggiore rispetto garantito al cittadino ed ai suoi dati.

Il personale dell’Ufficio Privacy si è autoformato e svolge continuamente studio e approfondimento in materia di privacy.

Inoltre, è stato trasmesso ad ogni struttura aziendale e ad ogni Responsabile esterno del trattamento dei dati il Regolamento aziendale in tema di privacy in modo da facilitarne la conoscenza e presa d’atto da parte di tutti gli operatori.

L’iniziativa ha creato un nuova professionalità interna con compiti specifici relativi alla gestione degli adempimenti e delle problematiche afferenti la privacy.

Sono stati svolti corsi di formazione per i diversi livelli di responsabilità individuati in ambito aziendale come previsto dalla normativa ex Legge 675/1996.

Sono stati realizzati due database.

Un database per la rilevazione dei trattamenti di dati attivati all’interno dell’Azienda, nel quale per ogni trattamento attivato si individuano i soggetti autorizzati all’utilizzo dei dati (il Responsabile e gli Incaricati), le modalità di trattamento, la normativa di riferimento.

Ed un altro per censire le banche dati attive nell’Azienda per ogni trattamento di dati, da utilizzare come base di lavoro per il presidio della problematica attinente alle misure di sicurezza di cui all’articolo 15 della Legge 675/1996 , commi I e II .

Nel Regolamento Generale l’Azienda ha introdotto fra le articolazioni organizzative l’Ufficio Privacy, prevedendo un apposito budget destinato al presidio della problematica della privacy.

Il progetto è nato da un’idea partita dal personale interno all’Azienda, che successivamente è stato assegnato all’Ufficio Privacy (in dettaglio un collaboratore amministrativo professionale esperto e un assistente amministrativo) .

Il gruppo di progetto costituito ad hoc ha coinvolto nelle fasi di progettazione delle attività i rappresentati di tutte le unità organizzative aziendali e di tutti i soggetti esterni che svolgono attività per l’Azienda. Mentre le fasi di realizzazione e di messa a regime dell’Ufficio sono state gestite dagli stessi operatori assegnati alla nuova struttura.

Punti di forza  

L'innovatività del progetto risiede principalmente nel:

- Avere percepito sin da subito che l'applicazione delle disposizioni in materia di privacy non può avere carattere episodico ma continuo nel tempo;

- Avere sistematizzato e regolamentato la procedura aziendale di applicazione della normativa;

- Avere costituito in Azienda una struttura di sostegno e consulenza dei soggetti interessati all’applicazione della normativa, che gestisca e tenga aggiornati gli strumenti appositi di rilevazione, che esamini e risolva le problematiche che scaturiscono inevitabilmente dall'applicazione delle disposizioni sulla privacy ;

- Avere compreso che solo con un processo formativo specifico e dedicato all’applicazione della normativa sulla privacy in ambito sanitario può maturare una nuova cultura della riservatezza nell'uso di informazioni che faccia superare a quanto dovuto e fatto in tema di adempimenti la soglia dello sterile adempimento e lo faccia essere invece un miglioramento della qualità del servizio offerto all'utenza;

- Avere svolto la funzione di azienda pilota per il livello regionale di riferimento per quanto riguarda la privacy, preparando e progettando strumenti di lavoro da trasmettere a tutte le Aziende Sanitarie della Regione Toscana;

- Avere svolto, su mandato della Regione Toscana, la funzione di formatore dei formatori aziendali in campo sanitario toscano;

- Avere creato all'interno della struttura aziendale una nuova professionalità che presidiasse l’intera problematica della riservatezza dei dati e tutelasse l'utenza promuovendo una corretta applicazione delle informazioni gestite in ambito aziendale.

Criticità  

Sono state riscontrate nel corso delle attività progettuali alcune criticità riguardo al reperimento di risorse logistiche, tecniche ed economiche, e agli incentivi da legare agli obiettivi.

Dal 1998 ad oggi è stata assegnata all’USL5 la funzione di azienda pilota per il livello regionale per quanto riguarda la progettazione e la preparazione di soluzioni gestionali delle problematiche privacy . Inoltre, dal 2001 ad oggi, l’Ufficio Privacy svolge attività di consulenza e formazione per altre Aziende Sanitarie Toscane o di altre regioni, per altri soggetti pubblici e privati al fine di introdurre simili percorsi gestionali di rispetto della privacy.

Pisa, luglio 2003