Legal

DPO: quando dev'essere nominato?

DPOUna figura nuova introdotta dal nuovo reg 679/2016 è Data Protection Officer (DPO) (tradotto nel testo in Italiano come Responsabile del Trattamento dei Dati).

Si tratta di una figura cardine del sistema perché svolge - a favore del titolare del trattamento - contemporaneamente diverse attività: consulenza, formazione, sensibilizzazione del personale e, infine, controllo sulla compliance al Regolamento. Un ruolo analogo a quello che svolge l’ Organismo di Vigilanza nella 231.
Vista la rilevanza della nuova figura si ritiene pertanto di cominciare ad approfondirne i contorni. Cominciamo con l’analisi dei casi nei quali esiste un obbligo di nomina. L’art. 37 del Regolamento prevede che esiste l’obbligo del DPO quando:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure

b) il “core business” del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.”

Quindi sicuramente tutte le strutture sanitarie pubbliche (in quanto enti pubblici) devono nominare il DPO.
Il dubbio si pone per tutti gli enti privati che trattano dati sanitari: ad esempio cliniche private, aziende farmaceutiche, aziende di medical device.

Secondo il punto c)  dell’art. 37 tali soggetti (di natura privata) saranno tenuti a nominare obbligatoriamente il DPO quando trattano i dati “su larga scala”.
Cosa significa? Sul punto si richiama il Considerando 91 che così sancisce:

"i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

sul punto si segnala poi che in ambito comunitario il Gruppo di Lavoro 29 in data 23 dicembre ha emanato specifiche Le Linee Guida:  WP29 Guidelines on Data Protection Officers (‘DPOs’).
Al punto 2.1.3 circa il concetto di “Larga Scala” così si stabilisce:

In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; d’altra parte, ciò non significa che sia impossibile, col tempo, individuare alcuni standard utili a specificare in termini oggettivi e quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni.

Anche il WP29 intende contribuire alla definizione di questi standard pubblicando e mettendo a fattor comune esempi delle soglie applicabili per la nomina di un RPD.

A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

•         il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

•         il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

•         la durata, ovvero la persistenza, dell’attività di trattamento;

•         la portata geografica dell’attività di trattamento.

A parere di chi scrive, qualche riferimento numerico avrebbe consentito di avere qualche certezza in più nella scelta di nominare o meno il DPO.

Tuttavia, tenendo conto che per quanto riguarda il trattamento di dati sanitari i casi espressamente esclusi  sono solo  “il trattamento dei dati dei pazienti da parte di un singolo medico” , si reputa che senza dubbio le Case di cura siano tenute alla nomina e, con buona probabilità, anche aziende farmaceutiche e di medical device ove trattino direttamente dati relativi alla salute (esempio sperimentazione ed indagini cliniche).

 
Autore:

Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.

Segui Silvia Stefanelli: