AIM Group International, insieme allo Studio Legalitax, ha organizzato un convegno di approfondimento sull’impatto del nuovo Regolamento Europeo sulla Protezione dei Dati (GDPR) per le Società Medico-Scientifiche, cha ha visto la partecipazione di un folto gruppo di rappresentanti del mondo associativo e corporate.
«Il nuovo Regolamento Europeo impone un cambio di mentalità importante nel modo di gestire, archiviare e trattare i dati personali, che ha particolare rilevanza nel mondo della Salute e coinvolge le Società Medico-Scientifiche e tutti i loro partner in modo significativo – ha sottolineato, in apertura, Gianluca Buongiorno, presidente di AIM Group International -. Per farsi trovare pronti occorre realizzare un’approfondita analisi e pianificazione delle procedure di gestione dai dati, che in AIM Group ci sta impegnando da tempo».
Organizzato a Roma presso Palazzo Altieri, prestigiosa sede di Banca Finnat, il convegno è stato aperto dall’Avv. Alessandro Pappalardo (Studio Legalitax) che ha illustrato le principali novità del Regolamento UE tra cui, per esempio, il principio di accountability, che responsabilizza il titolare del trattamento a individuare le misure più idonee senza potersi riferire a procedure minime imposte dal legislatore, il ruolo del Data Protection Officer(DPO), esclusivamente dedicato in azienda alla verifica della corretta implementazione degli obblighi connessi con la protezione dei dati personali, il Registro del Trattamento, dove sono riportati i flussi dei dati e le misure di tutela adottate, nonché la valutazione di impatto, necessaria in caso di elevati rischi per gli interessati. Per adeguarsi al nuovo regolamento ogni società ha quindi la necessità di avviare un progetto complesso e approfondito, i cui esiti devono essere operativi già dal 25 maggio.
Le Società Medico-Scientifiche, in particolare, per la loro natura di luogo di scambio di informazioni, dati e risultati di ricerca, sono impattate in modo importante dal nuovo GDPR, come ha fatto notare l’Avv. Laura Bellicini (Studio Legalitax), in quanto tutte le loro principali attività, sia come promotori di eventi formativo-congressuali sia per la ricerca clinica, comportano la gestione di volumi enormi di dati personali, di cui è necessario identificare, analizzare e impostare il corretto flusso da e verso tutti i partner coinvolti (aziende sponsor, PCO, Provider ECM e CRO nel caso di studi clinici o osservazionali, etc.).
Entrando poi nell’analisi dettagliata di tale flusso, l’Avv. Alessio Briganti (Studio Legalitax) ha messo in evidenza gli specifici obblighi previsti dal GDPR e i necessari processi operativi e organizzativi. Si parte dalla individuazione delle diverse qualifiche e relative responsabilità dei vari attori coinvolti nel flusso dei dati (Titolare del trattamento, Responsabile del trattamento, etc.), che vede, per esempio, il PCO essere il Titolare del Trattamento dei datidei partecipanti ai congressi, e non un semplice responsabile, in quanto soggetto che, in piena autonomia imprenditoriale, è chiamato a garantire la piena fruizione dell’evento ai presenti. Pertanto, per esempio, nella gestione delle delegazioni di medici iscritti ai congressi dalle aziende sponsor sta al PCO accertarsi che gli invitati siano stati informati dallo sponsor con un’adeguata informativa, eventualmente inserendo una clausola di manleva nel contratto di sponsorship.
Il GDPR impone poi, sia alle Società Medico-Scientifiche sia ai PCO, di redigere e comunicare nuove informative rinforzatesul trattamento dei dati, dove sono esplicitamente segnalati, per esempio, la finalità, l’uso dei dati, il DPO, la durata del consenso rilasciato ed eventuali consensi facoltativi. Informative e consensi ad hoc sono poi necessari nel caso di iscrizione a realtà associative collegate a omologhe strutture di livello internazionale che possono condividere i dati degli iscritti, così come per la pubblicazione dei dati dei soci sul sito internet e nel registro degli associati, se accessibile a terzi.
Sulla crescita dei rischi a causa del mutato contesto tecnologico e di comunicazione nel trattamento dei dati sanitari, già per propria natura altamente “sensibili”, si è focalizzata l’Avv. Maddalena Valli (Studio Legalitax). Le Società scientifiche, e i loro partner, devono perciò implementare un sistema di gestione della Privacy by Design e idonee misure di sicurezza, informatiche, tecniche e organizzative, riviste periodicamente, e applicare codici di condotta così da minimizzare i rischi in tutto il ciclo completo del trattamento. Senza dimenticare che proprio il fattore umano può essere un’importante causa di rischio e che quindi è fondamentale fare formazione e preparare gli incaricati che trattano i dati, perché siano adeguatamente informati e pronti a valutare e prevenire i problemi.
«Come PCO siamo in prima linea nella gestione attenta e scrupolosa dei dati personali raccolti in occasione degli eventi congressuali che organizziamo – sottolinea Rosangela Quieti, managing director AIM Italy Congress Division -. Poiché non c’è una soluzione unica e pronta all’uso per tutte le realtà, ma ogni associazione e PCO è chiamato a compiere scelte e analisi approfondite e calate nelle specifiche caratteristiche del caso, la gestione della privacy risulta piuttosto complessa. Anche per questo motivo riteniamo importante fare cultura nel settore e favorire lo scambio di know-how ed esperienze».