Il GDPR prevede che uno dei casi in cui il titolare del trattamento dei dati personali è obbligato a nominare un Responsabile per la Protezione dei Dati Personali (DPO) ricorre quando le sue attività “consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati”.
Tra le categorie particolari di dati ci sono quelli riguardanti la salute. In questo caso, la presenza obbligatoria del DPO offre agli interessati una ulteriore garanzia sulla conformità del trattamento alle norme.
Il nostro medico di famiglia o il nostro dentista devono nominare il DPO? Certamente trattano dati riguardanti la salute. Ma il trattamento avviene su “larga scala”?
Il gruppo dei garanti europei ha tentato di sciogliere questo dubbio nelle Linee guida sul DPO. A proposito dei medici, ha espressamente stabilito che non costituisce trattamento su larga scala quello effettuato sui dati dei pazienti dal singolo professionista. Questo perché si suppone che il singolo professionista sia vincolato dal segreto professionale, di per sé sufficiente a contenere i rischi di violazione dei dati personali (considerando 53 del GDPR).
Ma che succede quando il professionista lavora in una struttura organizzativa che impiega lavoratori dipendenti non vincolati al segreto professionale? Oppure quando il medico condivide uno studio associato con altri professionisti?
I rischi aumentano, per ragioni diverse, in entrambi i casi. Appare, quindi, ragionevole che sia nominato un DPO e che i pazienti ne siano informati.
Il DPO, peraltro, non può coincidere con i fornitori dei servizi informatici dello studio medico. Infatti, il DPO deve essere una figura indipendente e non deve avere alcun ruolo decisionale o operativo nel trattamento dei dati dell’organizzazione che lo nomina.
Larga la scala, stretta la via per i medici in compagnia.