Autore– Dott. Filippo Lo Piccolo
Partner Revilaw srl– Dottore Commercialista – Revisore Legale ODCEC RAVENNA
Professore a Contratto – Università di Bologna
Il rischio di revisione è il pericolo che il revisore concluda il proprio operato esprimendo un giudizio professionale non corretto nella situazione in cui il bilancio d’esercizio risulta significativamente errato. Di conseguenza l’obiettivo del revisore è acquisire la ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi. Il rischio di revisione si suddivide in due componenti:
In particolare la comprensione del rischio legata alla organizzazione della impresa e più nel dettaglio alla comprensione della stessa e nel contesto in cui opera, pone un accento sul tema Privacy, la cui normativa è in continua evoluzione e costituisce un presidio importante sul trattamento dei dati personali e su tutto ciò che ne consegue. Vi sono alcuni settori – come per esempio quello sanitario – dove il dato è particolarmente sensibile e delicato, e costituisce un elemento di rischio che deve essere adeguatamente valutato dal Revisore. Tanto più che il Garante della Privacy, sul tema, è ultimamente particolarmente attivo nei confronti di particolari settori, come il già citato sanitario e più in generale della cura e servizi alla persona, come possono essere strutture ospedaliere o RSA. Infatti il Codice della Privacy (cd GDPR) attribuisce ai dati gestiti in questi ambiti una tutela rafforzata e stabilisce le regole per il loro particolare trattamento, tenendo in debita considerazione il ruolo professionale del personale medico e paramedico.
Ricordiamo che il diritto alla riservatezza e alla protezione dei dati personali è già oggi considerato un diritto fondamentale della persona, meritevole cioè di particolare tutela. Tant’è che una violazione di dati personali (Data Breach) può provocare, letteralmente, danni fisici, materiali o immateriali. Di conseguenza, la necessità da parte delle aziende da un lato di analizzare e prevedere i rischi connessi alla attività con riferimento a tale elemento e dall’altro di formare e di trasmettere sensibilità e responsabilità al personale coinvolto nel trattamento dei dati personali degli ospiti (dalla Direzione agli operatori socio-assistenziali) diventa, dunque, necessario oltre che doveroso per le RSA e per le aziende sanitarie in generale.
Veniamo ora alle particolarità che sono legate a questo settore e quindi a ciò che il Revisore, in sede di valutazione del rischio di revisione, per quanto compete a questa parte, deve attentamente valutare.
Adozione e corretta implementazione del Regolamento Europeo cd. GDPR e trattamento dei dati personali
Anzitutto il Revisore dovrà cominciare con il valutare se la società cliente, nell’effettuare il trattamento dei dati personali di cui è titolare, abbia attentamente analizzato, valutato e implementato le disposizioni e le prescrizioni del Regolamento Europeo n.679/2016 Codice in materia di dati personali (D. Lgs.196/2003) cosi come novellato dal D. Lgs 101/2018 e successive modificazioni ed integrazioni.
Inoltre dovrà verificare se nelle procedure previste i dati personali trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento, oltre che esatti ed aggiornati. Sulla base di ciò va ricordato, in primis, che il GDPR determina il perimetro del trattamento del dato, indicando come elementi fondamentali finalità e mezzi di trattamento. Se caliamo tale disposizione sulle case di cura – con finalità determinata nella cura del paziente e i mezzi del trattamento determinati in, ad esempio, modalità informatiche, la casa di cura privata opera come Titolare del trattamento dei dati (art. 4 n. 7 del GDPR). Come tale “soggetto del trattamento” la casa di cura privata deve rispettare il cd principio di accountability di cui agli artt. 5.2 e 24 del GDPR. Pertanto la casa di cura privata è pienamente responsabile delle scelte e delle azioni intraprese in materia di trattamento dei dati personali, e deve “darne conto” agli interessati secondo i disposti del GDPR. In particolare poi il Revisore dovrà anche essere edotto del fatto che sia stato raccolto il consenso dell’interessato per il trattamento di dati particolari. Infine, in base all’art. 24 del GDPR, la casa di cura privata Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati sia effettuato conformemente al GDPR. Va ricordato a tal proposito che l’art. 32 del GDPR prescrive che “[…] il titolare del trattamento ed il responsabile del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.
Il consenso dell’interessato ed i “diritti informativi”
La casa di cura privata Titolare del trattamento si trova in una posizione particolare: deve da un lato informare il paziente interessato circa i suoi diritti in materia di trattamento dei dati personali, dall’altro però deve agevolare i diritti previsti dal GDPR nel modo più efficace possibile.
Anzitutto vanno sintetizzati i requisiti del consenso previsti dalla norma (art. 7 del GDPR), ovvero la dimostrazione che il paziente interessato ha prestato il consenso; che per ogni finalità del trattamento deve esserci un autonomo consenso, che quest’ultimo deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità), nonchè revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento (potrebbe essere utile dotarsi di un modulo di revoca del consenso); tale revoca non deve pregiudicare il trattamento posto in essere sino ad allora ed il consenso deve essere sempre informato. Infine, il consenso – nel trattamento di dati particolari – deve essere esplicito (art. 9.2 lett. a del GDPR): comunemente è possibile procedere con la messa per iscritto della manifestazione di volontà del paziente interessato.Sono individuati quelli che vengono definiti i “diritti informativi” che appartengono al paziente della casa di cura privata. È necessario (cfr. art. 12 GDPR) che la casa di cura privata utilizzi per tutte le informazioni sul trattamento dei dati ai pazienti interessati un linguaggio semplice e comprensibile, una forma convisa, trasparente e facilmente accessibile al pubblico più vario, mentre viene definito un contenuto tassativo delle informazioni (cfr. art. 13 GDPR), come l’identità e i dati di contatto (reali ed aggiornati) del Titolare del trattamento (es. ragione sociale e dati di contatto della casa di cura privata); i dati di contatto del DPO (obbligatorio per le case di cura private); le finalità del trattamento (es. trattamento dei dati per finalità di diagnosi, cura e riabilitazione dei pazienti interessati); la base giuridica utilizzata per il trattamento dei dati (es. il consenso al trattamento dei dati); i destinatari del trattamento, ossia le persone fisiche, giuridiche, le autorità pubbliche od organismi che ricevono comunicazione dei dati personali. È necessario specificare almeno la categoria di riferimento dei destinatari (es. lo studio commercialista, la Regione ecc.); il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali; il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. È fondamentale stimare diversi periodi di conservazione per le diverse tipologie di dati trattati, in particolar modo per quelli particolari ai sensi dell’art. 9.1 del GDPR (es. dati relativi alla salute, genetici, biometrici ecc.). Ai sensi dell’art. 15 del GDPR il paziente interessato ha il diritto di ottenere gratuitamente dalla casa di cura privata Titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle “informazioni sul trattamento dei dati”. Ricordiamo anche che ai sensi dell’art. 16 del GDPR il paziente interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.
Se la casa di cura privata Titolare del trattamento avesse necessità di trattare ulteriormente i dati personali degli interessati per un’altra finalità, sarà necessario informar loro in merito a questo ulteriore trattamento. Come per la maggior parte delle strutture sanitarie, anche le case di cura private possono utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR: a norma di tale articolo, è lecito il trattamento dei dati particolari “per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] ovvero conformemente al contratto con un professionista della sanità […]”, con specifico riferimento alle finalità di “diagnosi, cura e riabilitazione” (cfr DPCM 27 giugno 1986). Dato il quasi-parallelismo con l’art. 9.2 lett. h) del GDPR, possiamo affermare che la casa di cura privata non ha necessità di utilizzare la base del consenso al trattamento dei dati personali, in quanto la liceità del trattamento è data da alcune delle “attività” tipizzate proprio dall’art. 9.2 lett. h) del GDPR. Inoltre nella casa di cura privata – come in altre strutture sanitarie – è possibile utilizzare il consenso per diversi trattamenti e finalità, non rientranti nell’alveo dell’Art. 9.2 lett. h) del GDPR (ad esempio, è possibile ottenere un consenso per comunicare con il paziente interessato tramite telefono, SMS, messaggistica istantanea ovvero tramite e-mail). Tra gli esempi più noti di consenso privacy in ambito sanitario figurano il Fascicolo Sanitario Elettronico (FSE), il Dossier Sanitario Elettronico (DSE) e la tematica dei Referti Online. Visto l’impatto che questi consensi hanno anche in altri ambiti della impresa, come nel sistema IT, il Revisore dovrà attentamente valutare i presidi posti in essere nell’uno e nell’altro ambito atti a prevenire i rischi ed a mitigarne l’accadimento.
Come per qualsiasi struttura sanitaria, è possibile che la casa di cura privata possa trattare taluni dati personali mediante altre basi giuridiche: Trattamento dei dati è necessario per tutelare un interesse vitale del paziente interessato o di un’altra persona fisica, qualora il paziente interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso (art. 9.2 lett. c) del GDPR); Trattamento è necessario all’esecuzione di un contratto in cui il paziente interessato è parte (art. 6.1 lett. b) del GDPR); Trattamento è necessario per adempiere ad un obbligo legale cui è soggetta la casa di cura privata (art. 6.1 lett. c) del GDPR); Trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento (art. 6.1 lett. e) del GDPR); Trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi (art. 6.1 lett. f) del GDPR). La casa di cura privata Titolare del trattamento valuta autonomamente le basi giuridiche da utilizzare, caso per caso.
Chiaramente il Revisore nel questionario posto alla società dovrà porre sotto la lente di ingrandimento questi elementi, per rendersi convinto o meno di particolari rischi collegati al trattamento dei dati in questo particolare settore.
La designazione, a persone autorizzate, del trattamento dei dati personali: profili, procedure e istruzioni operative
Altro elemento particolarmente delicato è collegato ai soggetti autorizzati e designati al trattamento del dato, che nel caso delle case di cura ed in particolare dei servizi alla persona godono di particolari qualifiche professionali. Pertanto si dovrà verificare se sia stata effettuata la designazione a persone autorizzate del trattamento dei dati personali di tutti i soggetti che, in base alla loro mansione effettuano attività di trattamento dei dati personali di titolarità del cliente, nonchè che siano state fornite precise istruzioni operative in tale ambito. Questo elemento è particolarmente importante nelle case di cura, soprattutto in quelle realtà che possono trattare il dato sotto il doppio aspetto clinico e/o diagnostico e quindi è potenzialmente trattato da più soggetti. Le procedure collegate alla integrità ed alla protezione del dato devono essere valutate e verificate, soprattutto se ci troviamo di fronte a mezzi di trattamento del dato misti (es. Trattamento informatico e trattamento cartaceo). Riassumendo dunque, da un lato la casa di cura privata può autorizzare come meglio crede (principio di responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato in maniera adeguata.
Formazione ed informazione in materia di protezione dei dati personali
Direttamente collegato a quanto poc’anzi descritto, vi è anche la necessità della formazione dei dipendenti e di tutti coloro che siano stati designati ed autorizzati al trattamento del dato. In particolare il revisore dovrà essere edotto circa gli eventi formativi che sono stati effettuati in materia ed il grado di approfondimento e diffusione degli stessi nella organizzazione. Diventa importante dunque che lo stesso disporre dei contenuti della formazione effettuata, sia in presenza che attraverso modalità e-learning.
Il DPO: figura centrale nel GDPR
La nomina del DPO, ovvero colui che è responsabile del trattamento dei dati, è un’altra circostanza da verificare attentamente. Questo elemento è obbligatorio negli ambiti che stiamo analizzando, ma l’architettura della sua azione diventa fondamentale in quei contesti dove le case di cura fanno di uno stesso gruppo societario. In tale occasione l’integrazione della figura del DPO in una unica persona può essere elemento molto positivo in quanto potrebbe eliminare eventuali rischi derivanti da nomine diverse e potenzialmente procedure differenti per i diversi contesti.
Il trattamento dei dati: cancellazione, portabilità, registrazione e trasferimento all’estero
La società si impegna a cancellare i dati personali quando non più necessari per le finalità per i quali vengono trattati? Questa è una domanda che nel questionario Privacy del rischio il revisore dovrebbe prevedere.
Infatti un altro elemento presente nel GDPR, che assume però in ambito sanitario connotati particolari, è la cancellazione dei dati. Lo specifico art. 17 della norma prevede che i dati debbano essere cancellati sulla base di particolari evenienze, come il caso in cui non siano più necessari rispetto alle finalità di raccolta; in caso di revoca del suo consenso e mancanza di altre basi giuridiche; nel caso il paziente interessato si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso; nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento; nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il Titolare del trattamento. In tutti questi casi la casa di cura privata Titolare del trattamento dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo. Ricordiamo che tale diritto però trova una limitazione quando: vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investita la casa di cura privata Titolare del trattamento; vi sono motivi di interesse pubblico nel settore della sanità pubblica; vi sono finalità di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi; si è in presenza di accertamento, esercizio o difesa di un diritto in sede giudiziaria. In tale ambito si inserisce anche il diritto dell’interessato ad ottenere la limitazione al trattamento dei dati personali, tassativamente previsto dall’art. 18 del GDPR, dove il paziente interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando: il medesimo contesta l’esattezza dei dati personali; il trattamento è illecito; ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché la casa di cura privata Titolare del trattamento non abbia più bisogno di questi dati; infine, quando si oppone al trattamento dei suoi dati. Inoltre è prevista la portabilità dei dati del paziente (art. 20 GDPR), ovvero di ricevere dalla casa di cura privata Titolare del trattamento i dati personali che lo riguardano, ed il diritto di chiedere al Titolare del trattamento di trasmetterli ad altro Titolare (es. un’altra struttura sanitaria).
Tutte le case di cura private sono obbligate alla tenuta dei registri delle attività di trattamento di cui all’art. 30 del GDPR. Il trattamento su base permanente di dati particolari, tra i quali spiccano i dati relativi alla salute, i dati genetici e – in alcuni casi – biometrici, rende necessario l’obbligo in oggetto. Tali registri sono tenuti in forma scritta sotto la responsabilità del Titolare del trattamento (la ricorrenza del “principio di responsabilizzazione” è un mantra unico nel GDPR).
È possibile inoltre che la casa di cura privata abbia rapporti con soggetti presenti all’estero, paesi UE ed Extra UE. Il dato in questo ultimo caso può essere trattato diversamente a seconda di differenti casistiche, e quindi il Revisore è bene che verifichi che la società abbia valutato tutte le misure necessarie per la protezione degli stessi. Tali casistiche prevedono la presenza di una decisione di adeguatezza (individuata in questi paesi Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA), la assenza di una decisione di adeguatezza (per cui deve essere fatto sulla base di accordi contrattuali), in assenza di precedenti due condizioni (particolare ipotesi residuali).
Il livello di sicurezza dei dati: procedure inerenti la violazione dei dati personali
L’art. 32 del GDPR dispone che per approntare delle adeguate misure di sicurezza il Titolare del trattamento – nell’ottica del principio di responsabilizzazione di cui agli Artt. 5.2 e 24 del GDPR – deve tener conto dello stato dell’arte (ovvero avanzamento tecnologico), dei costi di attuazione (ovvero delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio. Tutto questo può essere ottenuto attraverso, ad esempio, la cifratura dei dati personali, la capacità del sistema di reagire ad eventuali violazioni, capacità di ripristino (es. Backup), procedure di testing della efficacia delle misure tecnico-organizzative per garantire la sicurezza del trattamento. In quest’ultima ipotesi, si deve tenere conto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Strettamente connesso a tutto questo argomento è il data breach, ossia la tematica della violazione dei dati personali, ovvero una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (cfr art. 4 GDPR). La norma prevede l’instaurazione di un preciso protocollo per cui, in caso di data breach, il Titolare del Trattamento deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo (artt. 33 e 34 del GDPR). Questa notifica deve contenere un descrizione dettagliata del data breach; categorie e numero approssimativo di interessati (es. numero di pazienti coinvolti); categorie e numero approssimativo di registrazioni dei dati personali; dati di contatto della casa di cura privata per tutte le informazioni richieste dal Garante Privacy; descrizione delle probabili conseguenze del data breach; descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio. In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, la casa di cura privata deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Conclusioni
Riassumendo dunque, dopo tali approfondimenti, il Revisore, nell’ambito della valutazione del rischio revisione collegato alle procedure collegate alla compliance Privacy nel particolare settore delle case di cura, dopo attento colloquio con i preposti della società, dovrà valutare: