Le questioni inerenti l’entrata in vigore del nuovo regolamento europeo sulla privacy investono, e preoccupano, anche i medici.
Tra le questioni riguardanti l’entrata in vigore del nuovo regolamento europeo sulla privacy, a preoccupare i medici c’è quella del Data Protection Officer (Dpo).
Argomento ‘caldo’ di questi ultimi giorni, il Gdpr sta stravolgendo la vita di professionisti italiani che si trovano pieni di domande circa gli adempimenti che vanno assolti in vista del 25 maggio.
Ebbene, interessante a tal proposito è il parere dell’avvocato Gennaro Messuti espresso proprio alla vigilia dell’entrata in vigore, il 25 maggio, del regolamento Ue sulla privacy.
Mansutti parla anche di informativa, consenso, trattamenti di persone decedute ed offre una analisi del nuovo apparato sanzionatorio.
L’avvocato, inoltre, conferma l’obbligo per tutti i medici di tenere ed aggiornare il registro dei trattamenti riguardanti dati sensibili (salute). Quanto poi alla questione del Data Protection Officer (DPO), fornisce alcune precisazioni importanti.
Il DPO è un esperto di privacy con compiti consultivi. Egli dovrà assistere il titolare e vigilare sul rispetto del regolamento. Dipendente o con contratto di servizi, il Data Protection Officer va designato sempre nella PA.
E nel privato? Qui la nomina c’è laddove si trattino su larga scala categorie particolari di dati personali come quelli sensibili, e per trattamenti richiedenti monitoraggi regolari e sistematici.
Ma cosa si intende, di preciso, per “larga scala”?
Il regolamento Ue non definisce il concetto di larga scala. Il Gruppo di lavoro ex articolo 29, già ora considera tale il trattamento svolto da un ospedale.
Al contrario, esclude quello svolto da un singolo sanitario, in linea con il “considerando 91” del regolamento.
Quanto alla Federazione Nazionale dell’Ordine dei Medici, l’opinione prevalente è chiara.
Per il Direttore Generale Fnomceo Enrico De Pascale, se un singolo professionista è inserito in una forma complessa di aggregazione, “soprattutto di natura contrattuale, come reti o gruppi, vedrà i dati dei colleghi, altrimenti non avrebbe avuto motivo di entrare a far parte di una struttura di questo genere. In questo caso, quindi, si potrebbe parlare di dato in larga scala”.
Ma non è tutto.
Oltre al medico singolo, nel regolamento si considera non di larga scala la “piccola azienda a conduzione familiare”.
Infatti, si parla di microimpresa fino a 10 dipendenti con fatturato sotto 2 milioni di euro annui. Per Omceo Milano, però, “difficilmente medicine in rete e di gruppo possono raggiungere i valori reddituali di cui alla tabella”.
Questo significa che difficilmente una medicina di gruppo potrà avere “confini territoriali vasti e un numero così elevato di pazienti da richiedere la nomina di un DPO”.
Quanto al “monitoraggio regolare e sistematico”, nelle Faq sul regolamento il Garante cita trattamenti che richiedano geolocalizzazione di gestione di dati trasmessi da dispositivi indossabili per il monitoraggio dello stato di salute.
A questo punto, in particolare, è estraneo il gruppo o la rete di medicina. Al contrario vengono citati sia i laboratori di analisi mediche che i centri di riabilitazione.
Quanto alla nomina del Data Protection Officer, questa è suggerita dal Garante a ogni medico convenzionato con il SSN.
E laddove si designi un RPD su base volontaria, “si applicano gli identici requisiti validi per i RPD designati in via obbligatoria”.
Leggi anche:
SMI SUL GDPR: ‘SIAMO MEDICI NON BUROCRATI. SERVONO CHIARIMENTI’
