I professionisti di Gratia et Salus: il Data Protection Officer Giampietro Peghetti
Giampietro Peghetti è il nostro Responsabile della Protezione dei Dati (Data Protection Officer) e si occupa di rendere operative le normative inerenti alla privacy.
Ha iniziato l’attività professionale il 1° giugno 2000 ideando e realizzando sistemi di gestione dei dati (anche su larga scala) per istituzioni ed imprese; attualmente crea, pianifica, gestisce l’esecuzione ed il monitoraggio di progetti per la sicurezza e l’ottimizzazione dei sistemi informatici ed i processi informativi aziendali. È certificato “PMI Project Management Professional” dal 2 agosto 2016 e “AgilePM (2014) Foundation” dal 27 giugno 2017. Dal 29 maggio 2008 è Esperto Area Regionale Qualifica (EAPQ) per la Regione Emilia-Romagna – Sistema Regionale di Formalizzazione delle Certificazioni.
In particolare, Giampietro Peghetti è specializzato nella compliance di piccole e medie imprese al nuovo quadro normativo privacy (Regolamento UE 2016/679 GDPR, D. Lgs. 196/2003 Codice Privacy novellato dal D. Lgs. 101/2018), ambito nel quale segue in modo continuativo diverse PMI (prevalentemente Studi Associati, Poliambulatori, e Società informatiche) in qualità di Responsabile della Protezione dei Dati (DPO). È certificato “EIPASS DPO – Data Protection Officer” dal 29 giugno 2020, e “EIPASS CyberCrimes – Criminologia e reati informatici” dal 3 luglio 2020.
Come si inserisce la figura e il suo lavoro all’interno del poliambulatorio?
“Gratia et Salus ha da sempre una grande attenzione ai dati personali che gestisce. In questo processo di gestione, l’avvento del Regolamento Ue 2016/679 (GDPR) ha coinciso con l’avvicendamento del consulente privacy, ed ho iniziato la collaborazione proprio rendendo operative le novità previste dal Regolamento Europeo.
L’approccio è stato fin da subito piuttosto meticoloso, procedendo con un’analisi dettagliata della situazione e la conseguente evoluzione in applicazione della nuova normativa. Questa determinazione, seppur invasiva, è risultata gradita: si sono verificati tutte le procedure, peraltro già ben strutturate, e si è proceduto alla nuova parte documentale, aggiornando i termini e redigendo i nuovi testi (DPIA, Registri dei Trattamenti, Accordi contrattuali, Atti di designazione, Informative, consensi per il Dossier Sanitario Elettronico, et cetera alia).
La collaborazione attualmente in essere —anche in qualità di Data Protection Officer (DPO)— si concretizza quotidianamente nella gestione dei quesiti che giungono dai clienti (ad esempio, la titolarità medico competente e le vaccinazioni anti SARS-CoV-2/Covid-19 nei luoghi di lavoro), e mensilmente nella verifica delle procedure (dai sistemi di monitoraggio alle prassi in atto) e nella pianificazione delle nuove migliorie (ivi compreso l’aggiornamento dell’analisi dei rischi, in sinergia con la Qualità ed il rischio professionale dei medici).
Periodicamente si procede anche all’aggiornamento della formazione dei designati (il prossimo corso è previsto per settembre 2021)”.
Qual è l’aspetto che Le dà più soddisfazione nel lavoro?
“Lo spirito che anima il mio lavoro (e non solo) è la ricerca continua e indomita che porta ogni giorno alla scoperta di qualcosa di qualitativamente nuovo: lo si evince chiaramente sia dal curriculum, sia della cura maniacale del dettaglio (per cui, ad esempio, passaggi successivi sui medesimi temi portano inevitabilmente ad affinamenti sempre più accurati). Quello che per me più conta è la sfida quotidiana: una giornata senza novità è una giornata persa.
Anche per questo è un piacere collaborare con Gratia et Salus: è una struttura governata da chi sa cogliere le opportunità che si presentano, valorizzando le differenze con il passato e sapendo rendere attuali i valori che hanno portato il Dott. Giannasi ed il suo staff ad aver cura delle persone specialmente negli ambienti di maggior rischio (quali sono i posti di lavoro, come purtroppo ci ricordano le cronache anche di queste ultime settimane)”.
Nella sua opinione qual è il valore aggiunto di Gratia et Salus?
“Vi sono almeno tre peculiarità non comuni.
Primariamente la scelta delle persone: che siano professionisti, collaboratori, dipendenti o fornitori, chi collabora con la struttura deve avere chiaro che al centro di tutto è l’uomo (il profitto, anche quello di Gratia et Salus, viene dopo); anche in quest’ottica, la scelta cade sulle migliori capacità e competenze disponibili sul territorio.
La seconda, è la capacità di adattamento ed evoluzione, quindi la verifica ed il miglioramento di tutte le relazioni e dei processi in cui si articola l’attività. Non è un caso che Gratia et Salus abbia adottato le procedure previste dal GDPR ben prima del maggio 2018.
Da questo consegue la terza caratteristica, più operativa: vi è un investimento continuo nelle cosiddette “misure tecniche e organizzative adeguate”, non solo nell’attività professionale, ma anche nella protezione dei dati personali (anche particolari) degli interessati. I princìpi di riservatezza, integrità e disponibilità vengono attuati secondo modalità che sono metodicamente verificate e migliorate”.
Quali procedure adotta il Poliambulatorio per mantenere sotto controllo e al sicuro i dati dei clienti?
“La metodologia generale è un movimento circolare di avanzamento per affinamenti progressivi, come a spirale: pianificazione, attuazione, controllo, correzione. Si tratta di un processo continuo a piccoli passi: sia perché le fondamenta sono già strutturate, sia perché i cambiamenti devono entrare a far parte della quotidianità (senza stravolgimenti o imposizioni dall’alto).
In concreto la procedura si applica su tre focus ricorrenti.
Il primo è la dematerializzazione. Per sua natura, la conservazione fisica richiede attenzioni che possono più facilemente attuarsi con una memorizzazione digitale: per questo, l’uso della carta è sempre meno frequente specialmente da quando vi sono le possibilità offerte dal Regolamento UE 910/2014 (eIDAS) e dal Codice dell’Amministrazione Digitale (CAD).
Il secondo è il sistema di gestione dei dati: si tratta di una piattaforma esclusiva di Gratia et Salus, in continuo sviluppo ed evoluzione, e gestita in collaborazione con uno dei pochi fornitori (italiani ed europei) che aderiscono ad un Codice di Condotta riconosciuto dal Garante Europeo. Tra gli sviluppatori si annoverano esperti di sistemi informatici, grafica, coding e crittografia.
Il terzo è il monitoraggio su quanto avviene non solo a livello infrastrutturale (in Gratia et Salus e presso i fornitori Responsabili del Trattamento), ma anche di singolo dato memorizzato. Oltre agli alert fondamentali per l’attuazione di azioni immediate, vi sono log che registrano sia le prestazioni di sistema, sia le modifiche apportate: una cronologia molto dettagliata su tutte le operazioni che sono state svolte su quel particolare dato”.
Gratia et Salus si contraddistingue anche per la possibilità di accedere all’idoneità (a seguito della visita nell’ambito della medicina del lavoro) direttamente mediante lo smartphone. Può spiegare meglio come funziona e come avviene questo passaggio informatico?
“È una possibilità offerta a quanti prestano il proprio consenso all’utilizzo di questa modalità. Come per il Fascicolo Sanitario Elettronico del Servizio Sanitario Regionale, i dati restano sul sistema di gestione in cloud: il referto viene reso disponibile, ma mai inviato (sia in ottemperanza alla normativa vigente, sia per garantire la riservatezza delle informazioni ivi contenute).
Prima di chiudere la visita, al lavoratore viene trasmesso un link criptato (hash) attraverso una comunicazione indecifrabile da parte di terzi (crittografia end-to-end): se l’interessato convalida l’avvenuta ricezione del link, confermando quindi le informazioni di contatto comunicate al medico, la visita si conclude. Questo collegamento esclusivo permette l’accesso al referto digitale da parte del solo lavoratore per un tempo non superiore ai 45 giorni (come da normativa).
In verità la piattaforma è già pronta anche per l’autenticazione con verifica in due passaggi (mediante OTP): l’attenzione all’uomo, ovvero il fare in modo che l’interessato possa accedere alle informazioni in modo per lui agevole, ha però portato a posticipare questa soluzione (risultata troppo complessa per la quasi totalità dei lavoratori). Parafrasando un antico adagio: è l’informatica che deve essere a servizio dell’uomo, e non l’uomo al servizio dell’informatica. E questo Gratia et Salus lo sa da sempre”.