data protection officer per i medici

Data Protection Officer: obbligo di nomina per i medici

Finalmente è entrato in vigore il Regolamento europeo in materia di protezione dei dati personali lo scorso 24 maggio 2016. Dopo anni è nata una disciplina uniforme della privacy a livello europeo e parallelamente, sono state introdotte alcune novità; una di queste è il Data Protection Officer Medici.

Il Regolamento introduce la figura del Data Protection Officer (DPO, in italiano “Responsabile della protezione dei dati”), con l’obiettivo di garantire un approccio professionale e specialistico nel trattamento dei dati all’interno di aziende.

La nomina del Responsabile della protezione dei dati personali è obbligatoria per gli enti pubblici, per i soggetti la cui attività implichi un controllo regolare e sistematico degli interessati e per quelli che effettuano il trattamento di dati sensibili.

In particolare, il Data Protection Officer medici dev’essere nominato nell’ambito di cliniche ospedaliere e studi medici, per via della particolare natura dei dati trattati. Ogni studio medico, dovrà individuare un soggetto (interno o eterno) in grado di gestire il delicato trattamento dei dati sanitari e sensibili.

Questa novità, dettata da esigenze di garanzia della privacy degli interessati, rappresenta l’occasione per razionalizzare le competenze all’interno di cliniche e studi.

I compiti del Data Protection Officer Medici

Il Data Protection Officer viene nominato dal titolare o dal responsabile del trattamento e si caratterizza per l’indipendenza con cui svolge le sue funzioni. Il DPO non dove seguire alcuna direttiva o istruzione da parte del titolare per l’espletamento delle sue funzioni.

Tra i principali compiti del Responsabile per la protezione dei dati personali rientrano:

  • il dovere di informare e consigliare il titolare/il responsabile del trattamento e i dipendenti in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati;
  • verificare la rispondenza dell’organizzazione dello studio alla vigente normativa;
  • curare la formazione del personale coinvolto nelle operazioni di trattamento dei dati;
  • rappresentare il punto di contatto per tutti gli interessati in relazione al trattamento dei loro dati.

Il DPO, inoltre, funge da punto di riferimento per i rapporti con il Garante della Privacy e può interpellare quest’ultimo di propria iniziativa.

Va sottolineata la differenza tra la nuova figura del Responsabile della protezione dei dati, che agisce in piena indipendenza e autonomia, e quella del responsabile del trattamento dei dati. Il responsible del trattamento dei dati è conosciuto anche dal Codice della Privacy italiano, il quale opera in base alle istruzioni e sotto la vigilanza del titolare.

Le sanzioni previste per chi non si adegua alla normativa europea

La nomina di un Data Protection Officer rappresenta un obbligo per aziende, studi medici e pubbliche amministrazioni. L’importanza di questa nuova figura è testimoniata dal severo sistema sanzionatorio previsto a danno di chi non provvede ad incaricare un soggetto quale Responsabile della protezione dei dati.

Dal punto di vista amministrativo, infatti, sono previste sanzioni pecuniarie fino a 20 milioni di euro, mentre dal punto di vista penale, in relazione al reato commesso, le sanzioni possono anche comportare la sospensione dell’attività lavorativa di chi, ad esempio, gestisce cliniche o studi medici.