Nel principale gruppo ospedaliero privato italiano, la protezione dei dati è diventata un fatto culturale e organizzativo. Processi uniformi tra quasi 60 strutture, audit mirati, presidio sugli attacchi informatici e un Data Protection Officer che non si limita a controllare, ma accompagna il business.
«Ho iniziato a occuparmi di privacy nel 2004, poi nel 2018 ho deciso di dedicarmi completamente alla protezione dei dati: le normative erano diventate troppo complesse per poter essere esperti di tutto», racconta Elena Maderna, Group DPO del Gruppo San Donato (GSD). La sua carriera, nata nel settore bancario, attraversa vent’anni di evoluzione normativa e tecnologica: dal concetto tradizionale di “privacy” alla costruzione di una vera cultura della protezione del dato.
Nel settore sanitario, il dato personale non è solo un’informazione: è una componente centrale del rapporto di cura. Dentro GSD, la data protection è stata strutturata come una leva strategica di gestione, capace di tenere insieme tecnologia, organizzazione e fiducia. Non più un insieme di regole da rispettare, ma un modello integrato che coinvolge cybersecurity, ricerca scientifica, formazione e gestione dei fornitori.
«Un DPO efficace non può limitarsi a vigilare», spiega Maderna. «Deve suggerire la via corretta, aiutare il titolare a costruire strategicamente il dato. Il titolare decide, ma il DPO orienta».
Dal controllo all’orientamento
Processi uniformi, controlli ricorrenti, piani di audit comuni e una formazione che trasforma la compliance in comportamento quotidiano. Il DPO non rinuncia alla funzione di controllo, ma la amplia con una capacità di orientamento. «La protezione dei dati non deve bloccare il business», sottolinea Maderna. «Deve essere un valore aggiunto, un fattore di qualità».
Il DPO non è un revisore che arriva dopo, ma un partner che affianca le funzioni operative prima che le decisioni siano prese. «Non voglio mai bloccare, a meno che non sia una cosa non fattibile. È importante trovare una soluzione, essere trasparenti e valutare i rischi».
Accanto alla consulenza, resta la dimensione del controllo: «Quest’anno abbiamo iniziato audit mirati, uguali per tutti, partendo da determinati argomenti per valutare lo stato dell’arte. È fondamentale per capire dove intervenire e dove siamo già solidi».
In un gruppo con quasi 60 strutture, la sfida è garantire coerenza organizzativa. «Stiamo costruendo un’uniformità tra le varie strutture. È un obiettivo complesso, ma indispensabile».
Maderna insiste anche sul cambio culturale: «Non siamo più nell’ambito della “privacy”, come viene definita spesso. Siamo nell’ambito del “proteggere il dato che il paziente affida a noi e che noi utilizziamo per erogare un servizio”».
La metafora del pronto soccorso e del ricovero
Maderna descrive il ruolo del DPO con una metafora medica. «C’è una fase di pronto soccorso e una di ricovero». La prima riguarda le emergenze: violazioni dei dati, richieste improvvise dalle funzioni aziendali, attacchi informatici. «Quando si verifica un data breach, bisogna intervenire in brevissimo tempo, non solo pensare alle 72 ore previste dal regolamento. L’obiettivo è limitare il danno e ripristinare la sicurezza».
La fase di “ricovero”, invece, è quella del consolidamento: controlli, revisione dei processi, costruzione di una cultura aziendale consapevole. «Serve tempo per far capire che la protezione dei dati non è un obbligo imposto, ma una garanzia per tutti. È un gioco di squadra: il DPO è l’esperto, ma collabora costantemente con IT, HR, legale e tutte le funzioni coinvolte».
NIS2 e cybersecurity: dalla norma all’azione
Gli attacchi informatici sono oggi la principale minaccia per le organizzazioni sanitarie. Cartelle cliniche, referti, dati genetici: l’informazione medica è tra le più appetibili per il cybercrime. «Ogni giorno c’è un attacco in più», afferma Maderna. «Nel settore sanitario, ma anche in tutti i settori essenziali ed importanti, non possiamo più permetterci vulnerabilità».
Per questo, il nuovo framework europeo NIS2 – che rafforza gli obblighi di sicurezza informatica per le aziende che gestiscono servizi essenziali ed importanti – è visto come un alleato operativo. «Adeguarsi a NIS2 è imprescindibile, perché le misure tecniche e organizzative che devono essere implementate danno concretezza all’articolo 32 del GDPR. Non è solo un obbligo, è una guida che aiuta a costruire difese vere».
La responsabilità si estende anche alla filiera: «È fondamentale che i fornitori si attrezzino allo stesso modo. Dobbiamo pretendere da chi tratta dati per nostro conto le stesse misure di sicurezza che adottiamo noi. Altrimenti, la catena di protezione si spezza».
Ricerca, intelligenza artificiale e valore etico del dato
Nel contesto sanitario, la ricerca scientifica è parte integrante della missione. L’uso dei dati per finalità di ricerca, anche in forma secondaria, rappresenta una leva fondamentale per il progresso medico. «L’uso dei dati per scopi di ricerca scientifica è una scelta giusta», osserva Maderna. «Ma serve equilibrio: bisogna tutelare i pazienti e, allo stesso tempo, permettere alla scienza di avanzare».
L’intelligenza artificiale amplifica queste potenzialità. «Non bisogna restare indietro, ma usarla con etica. L’IA non sostituisce il medico: diventa uno strumento che analizza grandi quantità di dati in pochi secondi, liberando tempo e risorse e migliorando la qualità della cura». Gli strumenti per farlo in modo sicuro esistono già: «Anonimizzazione e pseudonimizzazione sono essenziali perché consentono di utilizzare i dati senza esporre le persone. È la chiave per coniugare innovazione e tutela».
Il futuro del DPO
Guardando avanti, Maderna immagina un ruolo del DPO sempre più vicino al business e meno isolato nella funzione di vigilanza. «Non voglio arrivare dopo e dire “hai sbagliato”. Vorrei essere parte integrante, vedere insieme i processi e poi tornare a verificarli».
Le norme attuali fissano confini, «il DPO non deve incidere sulle finalità del titolare», ma la pratica richiede coinvolgimento. «Se devo dire sì è perché sono convinta, se devo dire no è no e lo motivo. Le zone grigie si gestiscono valutando i rischi, non ignorandoli».
Per Maderna, anche il quadro normativo dovrà evolvere. «Forse il DPO avrebbe bisogno di una “visita di crescita”, una revisione che lo renda più proattivo all’interno dell’organizzazione. Lo vedo come un vero e proprio chief privacy officer, capace di aiutare a costruire l’uso del dato, non solo a controllarlo».
di Matteo Rizzi