AIM Group International, azienda che organizza congressi, meeting ed eventi, e lo Studio Legalitax, hanno affrontato il tema dell’impatto del Regolamento Europeo sulla Protezione dei Dati (GDPR) per le società medico scientifiche.
«Il nuovo Regolamento Europeo impone un cambio di mentalità importante nel modo di gestire, archiviare e trattare i dati personali, che ha particolare rilevanza nel mondo della Salute e coinvolge le Società Medico-Scientifiche e tutti i loro partner in modo significativo – ha detto Gianluca Buongiorno, presidente di AIM Group International -. Per farsi trovare pronti occorre realizzare un’approfondita analisi e pianificazione delle procedure di gestione dai dati».
Le società medico-scientifiche per la loro natura di luogo di scambio di informazioni, dati e risultati di ricerca, sono impattate in modo importante dal GDPR, come sostiene l’Avv. Laura Bellicini (Studio Legalitax), in quanto tutte le loro principali attività, sia come promotori di eventi formativo-congressuali sia per la ricerca clinica, comportano la gestione di volumi enormi di dati personali, di cui è necessario identificare, analizzare e impostare il corretto flusso da e verso tutti i partner coinvolti (aziende sponsor, PCO, Provider ECM e CRO nel caso di studi clinici o osservazionali).
Per l’Avv. Alessio Briganti (Studio Legalitax) hanno rilievo gli specifici obblighi previsti dal GDPR e i necessari processi operativi e organizzativi. Si parte dalla individuazione delle diverse qualifiche e relative responsabilità dei vari attori coinvolti nel flusso dei dati (Titolare del trattamento, Responsabile del trattamento), che vede, per esempio, il PCO, Professional Congress Organizer, essere il Titolare del Trattamento dei dati dei partecipanti ai congressi, e non un semplice responsabile, in quanto soggetto che, in piena autonomia imprenditoriale, è chiamato a garantire la piena fruizione dell’evento ai presenti.
Pertanto, per esempio, nella gestione delle delegazioni di medici iscritti ai congressi dalle aziende sponsor sta al PCO accertarsi che gli invitati siano stati informati dallo sponsor con un’adeguata informativa, eventualmente inserendo una clausola di manleva nel contratto di sponsorship.
Il GDPR impone poi, sia alle Società Medico-Scientifiche sia ai PCO, di redigere e comunicare nuove informative rinforzate sul trattamento dei dati, dove sono esplicitamente segnalati, per esempio, la finalità, l’uso dei dati, il DPO, la durata del consenso rilasciato ed eventuali consensi facoltativi. Informative e consensi ad hoc sono poi necessari nel caso di iscrizione a realtà associative collegate a omologhe strutture di livello internazionale che possono condividere i dati degli iscritti, così come per la pubblicazione dei dati dei soci sul sito internet e nel registro degli associati, se accessibile a terzi.
Sulla crescita dei rischi a causa del mutato contesto tecnologico e di comunicazione nel trattamento dei dati sanitari, già per propria natura altamente sensibili, si focalizza l’Avv. Maddalena Valli (Studio Legalitax). Le Società scientifiche, e i loro partner, devono perciò implementare un sistema di gestione della Privacy by Design e idonee misure di sicurezza, informatiche, tecniche e organizzative, riviste periodicamente, e applicare codici di condotta così da minimizzare i rischi in tutto il ciclo completo del trattamento. Senza dimenticare che proprio il fattore umano può essere un’importante causa di rischio e che quindi è fondamentale fare formazione e preparare gli incaricati che trattano i dati, perché siano adeguatamente informati e pronti a valutare e prevenire i problemi
