Le aziende del settore sanitario trattano grandi quantità di dati personali, che quasi sempre richiedono particolare protezione. Per questo, se i fornitori di prestazioni non si adeguano, vi è un enorme rischio di violare la nuova legge sulla protezione dei dati (nLPD). E alcune incombenze li attendono. Nadine Camenzind, Project Manager nLPD MediData, spiega: «L’entità dell’impegno dipende dal fatto che l’azienda sia particolarmente interessata o meno a causa della sua attività e da quanto si sia già adeguata alla nuova legge sulla protezione dei dati. Le aziende che sono già conformi al GDPR hanno solo una minima necessità di adeguamento. Chi invece opera esclusivamente in Svizzera e fino a oggi non ha fatto nulla dovrebbe attivarsi al più presto, perché il 1o settembre dovranno essere soddisfatti requisiti più severi.

Tra gli aspetti particolarmente rilevanti per il settore sanitario ci sono:

• L’obbligo di informazione al momento dell’acquisizione dei dati personali
• L’estensione della fornitura di informazioni (per cui si deve rendicontare tutto ciò che viene registrato)
• La verifica della conformità dei contratti
• La rielaborazione dell’informativa sulla privacy
• Dell’elenco delle attività di trattamento (con particolare riferimento a tutte le fasi mediche e amministrative, ad esempio anche nel settore delle risorse umane)
• La verifica del trattamento dei dati in relazione alle nuove norme. Ciò riguarda aspetti tecnici e organizzativi (privacy by design), ma anche la garanzia della limitazione del trattamento dei dati personali al minimo necessario per la finalità prevista, per mezzo di adeguate impostazioni predefinite (privacy by default)
• Nei nuovi trattamenti dei dati, i rischi del progetto riguardanti la privacy devono essere valutati e minimizzati in anticipo. Si tratta delle valutazioni d’impatto sulla protezione dei dati.
• Le procedure di segnalazione in caso di violazioni della privacy
• Verificare le misure per i data breach (pericoli di hacking)
• Creare un consulente per la privacy interno
• Formare il personale

Da decenni, la protezione dei dati dei clienti è di fondamentale importanza per MediData. Una gestione responsabile dei dati e delle informazioni, infatti, è un criterio essenziale per il successo del business. Pertanto, l’intera azienda con i suoi processi, sistemi e servizi viene regolarmente esaminata e confermata da un ente di certificazione indipendente secondo ISO 27001 e OCPD. In tale contesto non viene considerato solo l’aspetto giuridico, ma anche quello tecnico e organizzativo. «Ciò significa che riguardo alla nuova LPD siamo a buon punto», afferma compiaciuta Nadine Camenzind. «Dato che prendiamo molto sul serio questo argomento, abbiamo formato un team di progetto che si occupa della questione con la massima priorità e sistema le eventuali differenze.» Nadine Camenzind prosegue: «Per noi è particolarmente importante dare il buon esempio e fare in modo che i nostri clienti ricevano assistenza da un partner affidabile, poiché sono tenuti a trasmettere i dati in maniera sicura e conforme. Come parte di questa catena di fornitura, MediData se ne assume la responsabilità impegnandosi a garantire la sicurezza delle informazioni e la protezione dei dati. Ci affidiamo quindi a una base solida tramite un sistema di gestione della protezione dei dati che soddisfa pienamente i requisiti dell’Incaricato federale della protezione dei dati e della trasparenza.»