Dalla nomina del Data Protection Officer alla valutazione del rischio, ecco cosa fare per adeguarsi alla nuova normativa sul trattamento dei dati personali che entrerà in vigore il prossimo 25 maggio
È «la novità più devastante del 2018». Così il Direttore Generale della FNOMCeO Enrico De Pascale definisce l’entrata in vigore del nuovo Regolamento europeo sulla Privacy (o GDPR), che sostituisce integralmente la normativa nazionale in tema di trattamento dei dati personali. Dal prossimo 25 maggio, infatti, sono diverse le novità che verranno introdotte e che riguarderanno anche strutture ospedaliere e medici, che ovviamente trattano dei dati particolarmente sensibili. Ed è proprio il dottore De Pascale ad illustrarle ai nostri microfoni.
LEGGI LO SPECIALE PRIVACY
«L’applicazione del nuovo Regolamento può essere assai fastidiosa e onerosa. In alcuni casi, infatti, prevede la nomina del cosiddetto DPO, o Data Protection Officer, che è una persona fisica responsabile della protezione dei dati». Il DPO, infatti, è una figura che aiuta lo studio a conformarsi alle nuove regole e che funge da intermediario tra il professionista e l’autorità di controllo.
Ma chi è tenuto alla nomina del DPO? «Sicuramente le strutture ospedaliere – risponde De Pascale -. La figura del DPO è infatti prevista se si tratta il dato “in larga scala”. Ma in alcuni casi anche gli studi medici dovranno nominare un Data Protection Officer: se un singolo professionista è infatti inserito in una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi, vedrà i dati dei colleghi, perché altrimenti non avrebbe avuto motivo di entrare a far parte di una struttura di questo genere. In questo caso, quindi, si potrebbe parlare di dato “in larga scala”».
Discorso a parte meritano invece i singoli medici che lavorano in uno studio, come ad esempio i medici di famiglia: secondo il Regolamento, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non trattano dati su larga scala, e non sono quindi obbligati a nominare un DPO. «È questa – commenta De Pascale – l’interpretazione che sta passando in questo momento».
Anche il singolo medico di medicina generale, tuttavia, è tenuto a fare il cosiddetto risk assessment: «Tutte le strutture e i singoli professionisti che trattano dati sensibili – spiega il Direttore FNOMCeO – devono valutare i rischi rispetto alla protezione dei dati gestiti». Il titolare dei dati deve infatti eseguire un’attenta valutazione dell’impatto che i trattamenti che intende svolgere sono in grado di produrre. Dovrà quindi descrivere i trattamenti previsti e le finalità del trattamento; valutare la necessità e la proporzionalità dei trattamenti in relazione alle finalità; valutare i rischi per i diritti e le libertà degli interessati; elencare le misure previste per affrontare i rischi, specificando le garanzie, le misure di sicurezza e i meccanismi adottati per garantire la protezione dei dati personali e dimostrare il rispetto del Regolamento.
Va sottolineato, infine, che il Regolamento è una fonte comunitaria diretta, per cui «tutte le ipotesi di slittamento o di rinvio sono assolutamente impraticabili», specifica De Pascale. «D’altro canto si tratta di un Regolamento del 2016, quindi teoricamente tutti avrebbero avuto due anni di tempo per mettersi in regola. Di fatto così non è stato, e adesso stiamo assistendo ad una frenesia da comprensione e da applicazione che, quando ci sono temi e novità di questo genere, si verifica spesso in Italia», conclude.