Nel settore sanitario, un dato non è mai solo un’informazione. È un atto di fiducia. È una parte della persona che sceglie di affidarsi a una struttura sanitaria per essere curata. Per questo, parlare di privacy non significa semplicemente richiamare norme o adempimenti tecnici, ma affrontare un tema che riguarda relazioni, responsabilità e cultura organizzativa
«Il nostro compito è proteggere un rapporto, non solo un dato», spiega a ComplianceDesign.it Michela Giannetta, Data Protection & Legal Counsel del Gruppo Cerba HealthCare, che opera all’interno della funzione legale. «Il mio ruolo come referente interno per la privacy di Gruppo è presidiare la governance dei trattamenti e dei processi aziendali che comportano rischi legali, operativi e reputazionali, assicurando che le decisioni siano sostenibili per l’organizzazione e, soprattutto, per i pazienti».
Il Gruppo Cerba HealthCare conta oltre 400 strutture distribuite su 34 entità giuridiche. In un contesto di questa complessità, ogni scelta in materia di dati personali richiede un’attenta valutazione delle implicazioni legali e operative. La compliance privacy non è vissuta come un esercizio formale, ma come uno strumento concreto di sicurezza, affidabilità e qualità del servizio. Negli ultimi anni, infatti, il ruolo della privacy in sanità è profondamente cambiato. «All’inizio il GDPR era visto come un obbligo fastidioso, un adempimento da sbrigare. Oggi, invece, la funzione privacy è parte dei processi decisionali», racconta Giannetta. La Data Protection dialoga quotidianamente con tutte le funzioni aziendali e accompagna i progetti dall’idea alla realizzazione, contribuendo a definire presìdi di controllo che rendono le soluzioni sostenibili nel tempo. In questo senso, la privacy non rappresenta più un freno al business, bensì una leva che ne abilita lo sviluppo.
Il paziente al centro e il valore del dato sanitario
Al centro di tutto resta il paziente, che oggi è sempre più informato e partecipe. Legge le informative, presta attenzione ai consensi, chiede chiarimenti. «Ogni giorno riceviamo richieste da parte degli interessati. Non è solo un segnale di attenzione, ma la dimostrazione che la fiducia si costruisce con la trasparenza e si protegge con la coerenza», spiega Giannetta. Un paziente che percepisce cura e sicurezza nella gestione dei propri dati è più propenso a consolidare il rapporto con la struttura, valorizzando l’esperienza complessiva di cura.
Il dato sanitario è, per sua natura, uno dei più delicati. «Quando un paziente ci affida i suoi dati, ci affida la parte più intima della sua vita. Non possiamo permetterci leggerezze». Per questo motivo, ogni informazione – dalle prime rilevazioni cliniche ai controlli periodici – viene gestita con rigore e responsabilità.
Innovazione responsabile: Longevity e intelligenza artificiale
Questo approccio, ad esempio, si riflette anche nei programmi Longevity sviluppati dal Gruppo Cerba HealthCare, espressione di una visione di Medicina 3.0 orientata a estendere la durata della vita in buona salute. Il programma prende avvio dall’analisi di oltre 40 biomarker e consente di costruire un percorso personalizzato insieme a medici specializzati in HealthSpan Medicine.
Proprio perché basati sul trattamento di dati sanitari particolarmente delicati, questi programmi sono progettati secondo principi di privacy by design e by default. Anche gli strumenti digitali di supporto, come il portale di telemedicina per la prenotazione delle consulenze, sono sviluppati con attenzione alla protezione dei dati personali, alla trasparenza e alla sicurezza informatica.
In questo modo, innovazione e personalizzazione procedono insieme a una governance solida del dato, rafforzando la fiducia del paziente lungo tutto il percorso di cura e prevenzione.
Il Gruppo Cerba ha già implementato un progetto con un chatbot per facilitare le prenotazioni via WhatsApp, integrato con i sistemi di booking. «È stato un percorso seguito con grande attenzione: privacy by design, valutazione d’impatto, flussi documentati, informative trasparenti. Il paziente sa che sta interagendo con un sistema di AI e sa che i suoi dati sono trattati con cura». L’innovazione tecnologica, tuttavia, non può mai sostituire la fiducia. La tecnologia deve semplificare e supportare il percorso di cura, senza perdere di vista la dimensione umana su cui si fonda la relazione con il paziente.
La cultura della sicurezza
I rischi legati ai dati sono reali e molteplici: tecnologici, infrastrutturali, ma soprattutto umani. È dall’errore umano che, nella maggior parte dei casi, ha origine un data breach. Per questo il Gruppo Cerba HealthCare ha scelto di investire in modo deciso sulla formazione, andando oltre gli obblighi previsti dal GDPR. Sono state formate oltre 400 persone, con moduli dedicati alla sicurezza delle informazioni e alla corretta gestione degli incidenti di sicurezza. Il percorso ha coinvolto tutte le figure, dagli area manager al front office, fino al personale tecnico. Le sessioni, organizzate in gruppi ristretti, hanno favorito il dialogo e il confronto diretto, generando coinvolgimento e partecipazione attiva.
L’obiettivo è costruire una cultura diffusa e concreta, in cui la sicurezza del dato non sia un obbligo formale ma parte integrante del lavoro quotidiano. «La sicurezza non vive nei documenti: vive nei gesti quotidiani», sottolinea Giannetta.
Una funzione che crea valore
Guardando al futuro, il ruolo del data protection specialist si conferma come punto di equilibrio tra esigenze di business, responsabilità etica e aspettative dei pazienti. «Non si tratta solo di proteggere, ma di aiutare l’organizzazione a fare meglio in modo sostenibile».
«La privacy non è più il reparto dei “no”. È una funzione strategica che supporta la direzione nello sviluppo di un business giuridicamente ed eticamente sostenibile. Un business che cresce non malgrado la privacy, ma proprio grazie alla fiducia che riesce a costruire.»