Provvedimento Autorità Garante per la protezione dei dati personali n. 55 del 7 marzo 2019
Norme di riferimento: art. 37 Regolamento

Il Regolamento Europeo n. 679/2016 ha previsto all’articolo 37 i casi in cui la nomina del DPO è obbligatoria.

La nomina del DPO è obbligatoria nei seguenti casi:

• a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
• c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Talvolta, si possono riscontrare difficoltà nell’individuare se i trattamenti posti in essere da un determinato titolare sia soggetto rientrino nella previsione di cui all’art. 37 GDPR, obbligando quindi il titolare a nominare un Responsabile della protezione dei dati.

Particolari strutture, quali le cliniche private, in via generale potrebbe non rientrare apparentemente in nessuna delle ipotesi sopra esposte.

È altrettanto vero che dette strutture pongono in essere trattamenti su dati particolari, quali quelli relativi allo stato di salute degli interessati, che possono integrare il requisito normativo di “larga scala”.

Invero, nel provvedimento in esame, l’Autorità Garante per la protezione dei dati personali ha stabilito che il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala. (Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018).

Ciò obbliga, in conclusione, tutte le strutture sanitarie di carattere privato a nominare un Responsabile della protezione dei dati personali. Senza scordare che la nomina di un DPO è comunque considerata misura di sicurezza organizzativa e contribuisce in via generale a dimostrare il rispetto del principio di accountability da parte del titolare, il quale viene supportato da una figura professionale il cui scopo è vigilare sul corretto adempimento dei principi e obblighi previsti dal GDPR.

Studio Emmec può rivestire la nomina del DPO, sia in ambito pubblico che privato, vantando anche un’esperienza pluriennale nell’ambito sanitario.