Data protection officer. Da oggi possibile nominare questa nuova figura. Chi deve adeguarsi alla nuova normativa?

di Silvia Stefanelli

Tralasciando ospedali e case di cura che devono senza dubbio nominarlo, in area sanitaria i soggetti per cui sorge il dubbio circa l’obbligo di tale nomina sono numerosi: dai poliambulatori ai medici di base, dagli odontoiatri alle case di riposo. Alcuni vorrebbero evitare nuove "spese". Siamo sicuri che il possibile risparmio di qualche migliaio di euro l’anno valga la perdita delle garanzie e dei vantaggi che può offrirmi un DPO preparato?  

21 MAG - Da ieri è possibile nominare il Data Protection Officer: il Garante Privacy ha infatti attivato la pagina web a cui collegarsi per comunicare il nominativo del soggetto scelto dal Titolare e/o responsabile per svolgere tale funzione. Tralasciando ospedali e case di cura che devono senza dubbio nominarlo, in area sanitaria i soggetti per cui sorge il dubbio circa l’obbligo di tale nomina sono numerosi: dai poliambulatori ai medici di base, dagli odontoiatri alle case di riposo e così via.

Il punto di diritto attiene alla definizione del concetto di trattamento di dati relativi alla salute “su larga scala”, nozione quest’ultima piuttosto vaga e di difficile delimitazione. E così in questo giorni è un ricorrersi di pezzi nei quali le diverse associazioni di categoria cercano di sostenere che i loro iscritti non sono tenuti a nominare il DPO oppure che (quando la situazione è borderline) chiederanno al Garante chiarimenti (in sostanza: “sosterremo davanti al Garante che per noi il DPO per noi non è necessario”).

Qual’è esattamente l’obiettivo? Evitare ulteriori “spese” (l’onorario annuo al DPO) in capo alle diverse categorie. Ora, io credo che sfugga il quadro complessivo. Il nuovo Reg.UE introduce un nuovo modo di “pensare” il trattamento dei dati: vivendo in un’epoca di dati digitali l’obiettivo del GDPR è non solo quello di proteggere i nostri dati (e con essi i nostri diritti fondamentali di cittadini - Cambridge Analytica docet) ma anche quello di consentire - lecitamente - di fare circolare i dati: cioè di creare e sviluppare economia tramite i dati.
Forse è sfuggito infatti che questo Regolamento è la spina dorsale della c.d. Data Economy, oggetto di una specifica Comunicazione Europea - COM(2017) 9 final, 10 gennaio 2017 “Costruire un’economia dei dati europea” (per chi avesse voglia qui trova tutto) - secondo la quale nel 2020 l’economia sui dati dovrebbe raggiungere il 4% dell’intero PIL europeo.

Quindi non solo adempimenti, ma anche lo strumento principale per cominciare a ragionare e sviluppare potenzialità economiche tramite i dati.
Probabilmente è anche sfuggito che tale nuovo quadro apre le porte alle gestione dei dati per sviluppare ricerca e studi, per collaborare con le aziende del settore Medical Device per il monitoraggio post commercializzazione sui DM (obbligatorio per tutti al maggio 2020 con il nuovo Reg. UE 2017/745) per finire con i nuovi orizzonti che si stanno aprendo con l’applicazione dell’Intelligenza Artificiale in area sanitaria, tema su cui l’Europa il 25 aprile 2018 ha dato una svolta importante attraverso iniziative mirate al potenziamento della ricerca e del riutilizzo dei dati.
 
Alla sanità privata sfugge poi che questo nuovo quadro si interseca con le aperture in ambito di informazione sanitaria, ove oggi - dopo le legge Bersani sulla pubblicità (legge 248/2006), dopo le battaglie processuali sul Codice Deontologico e la nuova più ampia versione dell’art. 54 del suddetto Codice - il GDPR è in grado di fornire lo strumento giuridico per ragionare e progettare nuovi orizzonti: come fidelizzare i pazienti tramite l’invio di newsletter, come creare profili dei pazienti per mirare la mia comunicazione, come gestire correttamente il profili facebook della struttura, come attivare una app della struttura sanitaria.

Ora, come si interseca quanto sopra con la nomina (o meno) del DPO? Il Data Protection Officer è un garante interno che affianca il Titolare nel trattamento dei dati: senza dubbio svolge una attività di controllo sui trattamenti, ma - se proprio si legge con attenzione - l’art. 39 alla lett. a) afferma anche che il DPO è chiamato a “informare ed fornire consulenza al titolare del trattamento”: quindi (se bravo) può legittimamente essere un propulsore di idee ed iniziative.

Poi è anche il soggetto che svolge una attività di “sensibilizzazione e formazione del personale che partecipa ai trattamenti” (lett. b): e quindi aiuta il Titolare ed i suoi dipendenti a capire il GDPR, a rispettarlo (evitando le sanzioni), ed a traghettare il precedente sistema privacy (sicuramente un po’ burocratico) verso il “nuovo sistema privacy” (dinamico e molto più ricco di potenzialità). In più, essendo un garante interno previsto dalla legge, può diventare il soggetto chiamato, in caso di sanzioni, a risarcire parte delle sanzioni pagate, se ha svolto male i suoi compiti.

E veniamo ora a questi (temuti) oneri aggiuntivi. Da nessuna parte è scritto che il DPO svolge la sua attività in esclusiva. Ne deriva che nulla osta alla possibilità che più soggetti di stessa area (es network di soggetti delle stessa rea medica o di una stessa provincia o regione, anche attraverso la loro sigla associativa) stipulino un contratto congiunto con un DPO per dividere le spese, assicurandosi attraverso clausole di segretezza che lo stesso tuteli i diversi know how delle diverse organizzazione professionale.

In sostanza è possibile - e lecito - trovare soluzioni che siano anche economicamente non troppo impattanti. Allora la mia domanda è: ma siamo veramente sicuri che il possibile risparmio di qualche migliaio di euro all’anno (nell’ipotesi di DPO condiviso) valga la perdita delle garanzie e dei vantaggi che può offrirmi un DPO preparato nonchè la perdita della possibilità di aprirmi gli occhi ed aggiornarmi sulle diverse potenzialità di utilizzo dei dati nel mio settore?  
 
Avv. Silvia Stefanelli

21 maggio 2018
© Riproduzione riservata