È «la novità più devastante del 2018». Così il Direttore Generale della FNOMCeO Enrico De
Pascale – intervistato dal magazine Sanità Informazione – definisce l’entrata in vigore del
nuovo Regolamento europeo sulla Privacy (GDPR), che sostituisce integralmente la normativa
nazionale in tema di trattamento dei dati personali. Diverse sono le novità che verranno
introdotte dal prossimo 25 maggio: ecco un focus di quelle che riguarderanno strutture
ospedaliere e medici, che, per loro natura, trattano dei dati particolarmente sensibili.
«L’applicazione del nuovo Regolamento può essere assai fastidiosa e onerosa. In alcuni casi,
infatti, prevede la nomina del cosiddetto DPO, o Data Protection Officer, che è una persona
fisica responsabile della protezione dei dati», afferma De Pascale.
Il DPO è quindi una figura che aiuta lo studio a conformarsi alle nuove regole e che funge da
intermediario tra il professionista e l’autorità di controllo. Ma chi è tenuto alla nomina del
DPO? «Sicuramente le strutture ospedaliere – risponde De Pascale -. La figura del DPO è infatti
prevista se si tratta il dato “in larga scala”. Ma in alcuni casi anche gli studi medici dovranno
nominare un Data Protection Officer: se un singolo professionista è infatti inserito in una
forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi,
vedrà i dati dei colleghi, perché altrimenti non avrebbe avuto motivo di entrare a far parte di
una struttura di questo genere. In questo caso, quindi, si potrebbe parlare di dato “in larga
scala”».
Discorso a parte meritano invece i singoli medici che lavorano in uno studio, come quelli di
famiglia: secondo il Regolamento, gli studi medici, odontoiatrici e professionali con un solo
titolare del trattamento dei dati personali dei pazienti non trattano dati su larga scala, e non
sono quindi obbligati a nominare un DPO. «È questa – commenta De Pascale –
l’interpretazione che sta passando in questo momento». Anche il singolo medico di medicina
generale, tuttavia, è tenuto a fare il cosiddetto “risk assessment”: «Tutte le strutture e i singoli
professionisti che trattano dati sensibili – spiega il Direttore FNOMCeO – devono valutare i
rischi rispetto alla protezione dei dati gestiti». Il titolare dei dati deve dunque eseguire
un’attenta valutazione dell’impatto che i trattamenti che intende svolgere sono in grado di
produrre. Dovrà descrivere i trattamenti previsti e le loro finalità, valutare la necessità e la
proporzionalità dei trattamenti in relazione ai rispettivi scopi, ponderare i rischi per i diritti e
le libertà degli interessati, elencare le misure previste per affrontare tali rischi, specificando le
garanzie, le misure di sicurezza e i meccanismi adottati per garantire la protezione dei dati
personali, e dimostrare il rispetto del Regolamento.
Va sottolineato, infine, che il Regolamento è una fonte comunitaria diretta, per cui «tutte le
ipotesi di slittamento o di rinvio sono assolutamente impraticabili», specifica De Pascale.
«D’altro canto si tratta di un Regolamento del 2016, quindi teoricamente tutti avrebbero
avuto due anni di tempo per mettersi in regola. Di fatto, così non è stato, e adesso stiamo
assistendo a una frenesia da comprensione e applicazione che, quando ci sono temi e novità di
questo genere, si verifica spesso in Italia».

Leave a Reply

You must be logged in to post a comment.