Bioetica asse del GDPR, ecco la leva per una vera Sanità digitale | Agenda Digitale

L'APPROFONDIMENTO

Bioetica asse del GDPR, ecco la leva per una vera Sanità digitale

Il regolamento Ue aggancia l’innovazione al rispetto dei diritti fondamentali dell’uomo. Ma solo un approccio etico potrà integrare le nuove istanze scientifiche, giuridiche, filosofiche generate dal digitale. E trasformare così la compliance in asset competitivo e trampolino di rilancio per il benessere sociale

03 Ago 2020
Maria Teresa Iannone

esperto di bioetica clinica, biodiritto e consulente privacy certificato TUV


La digitalizzazione del mondo, il continuo flusso di informazioni che riceviamo costantemente e l’ingresso nell’era dei big data aprono uno scenario che non può essere estraneo alla riflessione morale, necessaria in un’ottica by design per poter comprendere e attivare ogni altra dimensione tecnica e giuridica in materia di “uso dei dati”.

Tutto ciò con il duplice fine di salvaguardare la privacy tenendo ben presente che, in ambito sanitario, gli interessati spesso sono pazienti e quindi persone che possono trovarsi in condizioni di fragilità e al tempo stesso con l’obiettivo di accompagnare gli esperti della protezione dei dati alla definizione di regole prudenti che mirino a difendere le informazioni e i dati ad esse ricollegate senza dimenticare che il loro lavoro deve essere al servizio della Persona.

Quando si parla di Sanità digitale (ma non solo) è, dunque, la bioetica l’elemento chiave in grado di dare respiro al GDPR, portandolo da mero dispositivo normativo a protezione dei dati a catalizzatore di una piena svolta digitale che mette al centro diritti e libertà fondamentali delle persone.

GDPR e Sanità digitale

In ambito sanitario, con la grande varietà di sollecitazioni cui gli operatori sanitari sono sottoposti e con lo sviluppo tecnologico che con rapidità straordinaria diventa sempre più capace di controllare la vita umana, si rinnova, anche per la protezione dei dati, l’esigenza di creare spazi di riflessione per mantenere viva l’armonia culturale dell’ars medica nell’impatto della tecnologia e della metodologia scientifica sulla società civile, per riuscire a garantire il miglioramento continuo dell’esercizio delle professioni sanitarie e il rispetto dei diritti umani.

L’idea di organizzare un “sistema privacy” come tutela necessaria all’interno delle strutture che erogano prestazioni sanitarie spesso si scontra, però, con le difficoltà organizzative delle aziende che tendono a dare priorità ad altri ambiti logistici. Solo una cultura più all’avanguardia, che sia in grado di riconoscere la data protection come un valore individuale e sociale, volto ad identificare un’opportunità per tutti gli operatori all’interno dell’organizzazione sanitaria, può assicurare una effettiva adesione alle previsioni normative comprendendone la portata di tutela della dignità del paziente in ogni istante del percorso assistenziale.

In questo percorso, come già sostenuto in altri contesti, chi scrive ritiene che il metodo interdisciplinare della bioetica possa dare il suo contributo per realizzare le necessarie scelte da cui possa davvero emergere l’enunciato etico del Regolamento europeo che, al considerando 4, ci ricorda di essere “al servizio dell’Uomo”.

Una prospettiva importante che contraddistingue il Regolamento europeo e i documenti europei e nazionali che da questo scaturiscono, apre al riconoscimento del contributo della tecnologia al progresso economico e sociale ritenendo, però, che la tecnologia debba essere sviluppata in modo responsabile e, in particolare, che gli individui debbano avere il controllo sui propri dati personali ricordando che la dignità della persona rappresenta una condizione propria dell’essere umano che precede e si pone a fondamento di ogni diritto.

Compliance, opportunità per agevolare processi

Il modo corretto di approcciare agli adempimenti che derivano dal rispetto delle norme sulla protezione dei dati è considerarli una opportunità volta ad agevolare i processi; le strutture devono poter lavorare non tanto e non solo per ottemperare ad un obbligo giuridico quanto alimentando l’occasione di fare del rispetto della privacy un asset competitivo importante.

Questa è l’impostazione del nuovo Regolamento che nasce in una realtà globalizzata, tecnologicizzata e digitalizzata, dove alla libera circolazione di dati delle imprese nell’UE, si accostano anche quelle fuori dall’UE, i cui Stati membri offrono servizi e prodotti circoscritti all’interno del territorio europeo; pensiamo all’industria del farmaco, ad es.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

In ambito sanitario, quindi è ancor più necessario sottolineare che la Privacy deve essere considerata un valore prima ancora di un adempimento giuridico; questo può essere il fondamento di senso che permette di esplicitare al meglio il principio di accountability e risulta profondamente funzionale per mirare ad una sensibilizzazione ed alla conseguente responsabilizzazione concreta e non meramente formale nell’agire.

L’obiettivo ultimo è la tutela del diritto alla protezione dei dati delle persone che afferiscono alle varie attività sanitarie attraverso un sistema permanente di presidio della riservatezza mirato a formare gli operatori verso una cultura del rispetto nei confronti del paziente tanto nella sua identità fisica quanto in quella digitale.

Come il digitale cambia il concetto di identità

Il mondo sanitario inevitabilmente approccia alla corporeità con immediatezza. Va ricordato come la corporeità rappresenti – per dirla con le parole di Vezio Ruggeri, psicofisiologo della Sapienza Università di Roma -, un processo-struttura psicobiologico nucleare dell’Io. In altri termini, la biologia è storia rappresentata a partire dall’intelligenza contenuta nella prima cellula, in un continuo divenire di cui la coscienza è la massima espressione. Ne diviene che l’identità è la stabilità nel tempo di questo processo-struttura.

Oggi l’identità si arricchisce di ulteriori elementi; il nostro modo di essere al mondo passa anche attraverso i dati che ci rappresentano e che possono ricadere negativamente sulla dignità a fondamento della nostra esistenza; ciò fa sì che tale “stabilità” non solo sia più complessa ma richieda anche un approccio più complesso. Riuscire a comprendere questo passaggio è la chiave per riportare al giusto equilibrio ogni considerazione su questo nuovo aspetto della protezione dell’uomo – considerando oltretutto che i dati normalmente protetti in una struttura sanitaria devono godere di una attenzione particolare.

Tutto ciò affinché ogni contesto sanitario si esprima come luogo di accoglienza globale del sofferente, per dare ospitalità sia a chi sperimenta su di sé la fragilità dell’esistenza, sia all’équipe che la vive attraverso – e con – il paziente, promuovendo il valore etico che sottende alla nuova disciplina europea la quale considera “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale come un diritto fondamentale” e riporta il “trattamento dei dati personali al servizio dell’Uomo”.

Oggigiorno, infatti, si è resa evidente l’esigenza dell’accoglienza delle persone anche nella loro dimensione di “identità digitaleche si manifesta in maniera sempre più definita e che implica, accanto al rispetto della riservatezza, il rispetto e la tutela dei dati riferibili a quell’identità dal momento che “la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali”.

Protezione dati e identità digitale

È l’economia digitale la cornice all’interno della quale hanno luogo sempre più le attività dell’umanità intera. Il digitale si pone come un’ulteriore sfera della vita reale, nella quale avvengono continui scambi di informazioni nelle più disparate forme in cui si manifesta il nostro essere individui, soggetti e persone: una persona anche digitale. È qui che il diritto alla protezione dei dati si concretizza appieno e, in questo caso, in una dimensione bioetica che non si limita ad affermare princìpi ma orienta l’adempimento oggettivo di quegli scopi relativi alla legittimità dell’agire umano in relazione a temi legati alla vita umana.

L’eticità del nuovo Regolamento si colloca in uno scenario in cui il rispetto e il trattamento del dato personale nella sua natura giuridica deve affrontare criticità quali ad esempio la vulnerabilità tecnologica e la corretta espressione del consenso che segue una giusta informazione; una visione bioetica contribuisce, anche in questo settore, al complesso lavoro di sintesi tra diverse visioni, scientifica, giuridica, filosofica, antropologica, che non si sovrappongono né si contrappongono ma separatamente rappresentano le varie espressioni di un’entità unica.

Queste discipline coordinandosi e integrandosi in un linguaggio comune che rappresenti la sintesi metodologica delle stesse e non sia invece – come troppo spesso avviene – confuso con il linguaggio del senso comune (nel senso di uso comune del linguaggio), potranno permettere al nuovo mondo digitale di essere affrontato con la giusta consapevolezza.

Qualità morali del Data Protection Officer

La valutazione etica che è possibile fare sulla recente disciplina della protezione dei dati non può escludere una riflessione sulla figura del DPO e sul ruolo che questo ricopre, fermo restando, ovviamente, che tale discorso può aprirsi alle altre figure coinvolte nella applicazione della norma.

Il Regolamento si apre con la considerazione che la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale considerandolo al servizio dell’Uomo. Il Garante Europeo ha perciò adottato una posizione proattiva, incoraggiando coloro che assumono la responsabilità di trattare dati personali, a progettare, attuare e monitorare le loro attività di trattamento dei dati in modo eticamente responsabile. In sostanza, richiamando l’accountability, la norma colloca il suo fulcro sul concetto di responsabilità che può assumere le dimensioni giuste solo se sviluppata su un modello etico adeguato che permetta alla coscienza di esprimersi.

Il GDPR è pensato per affrontare le preoccupazioni morali sul trattamento dei dati e richiede che tali attività siano agite eticamente. Anche per questo è stata introdotta la figura del Responsabile della Protezione dei Dati, nei fatti già esistente in diverse legislazioni europee, il quale, dotato di competenze giuridiche, informatiche, analitiche e di risk management, possa esaminare, valutare e pianificare la gestione del trattamento di dati personali (e perciò la loro protezione) all’interno di un’azienda (sia pubblica sia privata), affinché questi siano trattati, alla luce delle normative europee e nazionali, nel rispetto dell’identità dei cittadini.

La tutela della privacy come è oggi concepita, ostacola la regressione dell’individuo da soggetto attivo ad oggetto passivo, tutelando i singoli dall’essere pensati solo come fonti di dati dalle quali attingere; da questo possiamo assumere che le valutazioni bioetiche dovrebbero essere insite in qualunque operatività legata alla protezione dei dati e che tale protezione dovrebbe essere garantita da esperti non solo provvisti di una adeguata preparazione tecnica ma anche dotati di una visione più ampia e complessa del tema della legislazione sulla protezione dei dati.

Ecco tutti i requisiti per un “buon” DPO

Quali sono, però, le qualità morali che un DPO deve possedere, in linea con i dettami posti dal Regolamento, per assurgere al suo compito di proteggere i dati e poter essere considerato come il necessario elemento di congiunzione tra la disciplina dell’etica e la materia giuridica?

Le qualità di un DPO devono innanzitutto partire dalla competenza in materia, presupposto senza il quale qualunque ragionamento etico perde di significato. Ma, accanto a questa:

  • deve avere capacità di integrazione, al fine di perseguire i propri fini con onestà, scrupolosità e responsabilità, con assoluto riguardo alle normative e alle regole e, al contempo, favorire lo sviluppo di una cultura rispettosa delle leggi sulla protezione dei dati all’interno dell’organizzazione nella quale si trova ad esercitare il suo ruolo;
  • deve maturare la giusta leadership per rispondere ai suoi compiti con franchezza e conoscenza di sé, tratti che possono aiutare ad evitare la manipolazione delle informazioni e a “creare un’atmosfera di fiducia” per agevolare gli incontri tanto formali quanto informali. Il DPO deve essere onesto riguardo ai propri limiti, alla necessità di acquisire sempre maggiore conoscenza, conscio che i suoi valori influenzano la consulenza che offre;
  • non dovrebbe mai accettare incarichi che possono risultare perniciosi per la coscienza o per il decoro;
  • non deve mai operare attraverso mezzi illeciti o ingiusti che possono fornire informazioni o valutazioni errate e che possano causare rischio all’organizzazione o all’azienda;
  • la dilazione e la trascuratezza nell’assolvere al proprio ruolo possono creare una situazione di rischio all’azienda o all’organizzazione. Il DPO deve sempre condurre con impegno e con dedizione ciascuna attività che è richiamato a esercitare o coordinare tenendo in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento;
  • nel fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati, il DPO deve assumere un atteggiamento critico e ragionato al fine di minimizzare gli errori;
  • le qualità morali devono comprendere, inoltre, gli standard deontologici propri del settore. Integrità significa anche integrazione esemplare dei valori, dei dettami del codice di condotta di riferimento e della mission della struttura in cui si opera;
  • il DPO, infine, come previsto dal GDPR, deve poter svolgere il suo ruolo in piena indipendenza e in mancanza di conflitti d’interesse.
  • compito del DPO è, quindi, quello di realizzare nella libertà, la propria umanità – intesa come valore – e il proprio ruolo – inteso come predisposizione a fare il bene – un cammino che diventa impegno morale.

Etica e visione critica per gli esperti di dati

Le scelte morali si collocano nell’insieme di valori che permettono di effettuare una valutazione e portano alla decisione di condurre o non condurre una determinata azione. La scelta, tuttavia, non si pone al di fuori dell’ambito storico, culturale e ambientale, ma si realizza in esso, subendone l’influsso e il condizionamento, sia in positivo che negativo.

Ciò implica una riflessione critica più ampia volta a considerare il contesto in cui oggi si sviluppa l’esperienza applicativa del Regolamento europeo per la protezione dei dati, per poter agire su di esso affinché il DPO possa esprimere le sue competenze senza ostacoli; per far questo è necessario promuovere azioni di sensibilizzazione affinché le qualità morali che il DPO deve possedere rappresentino la base su cui costruire le sue caratteristiche professionali necessarie ad accompagnare le altre qualità o skill di natura giuridica, finanziaria, informatica, organizzativa e gestionale al fine di condurre il suo operato al meglio delle possibilità.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 3