24 Maggio 2018

---

---

Per i medici in rete o in gruppo non pare necessaria la nomina entro il 25 maggio di un Data protection officer, nemmeno se condividono i software. Lo afferma un parere dell'avvocato Gennaro Messuti fatto proprio dall'Ordine dei Medici di Milano alla vigilia dell'entrata in vigore, il 25 maggio, del regolamento Ue sulla privacy. Il parere, un po' controcorrente, parla anche di informativa, consenso, trattamenti di persone decedute ed offre una analisi del nuovo apparato sanzionatorio. E conferma l'obbligo per tutti i medici di tenere ed aggiornare il registro dei trattamenti riguardanti dati sensibili (salute).  C'è poi la questione del Data Protection Officer DPO): esperto di privacy con compiti consultivi, assiste il titolare e vigila sul rispetto del regolamento. Dipendente o con contratto di servizi, va designato sempre nella Pa; nel privato lo è dove si trattino su larga scala categorie particolari di dati personali come quelli sensibili, e per trattamenti richiedenti monitoraggi regolari e sistematici.  

Larga scala

Il regolamento Ue non definisce il concetto di larga scala. Il Gruppo di lavoro ex articolo 29, organo consultivo che riunisce i Garanti privacy degli stati membri Ue, già ora considera tale il trattamento svolto da un ospedale e invece esclude quello svolto da un singolo sanitario, in linea con il "considerando 91" del regolamento. 

Il parere Fnomceo

L'opinione prevalente fin qui, ripresa anche in un parere del Direttore Generale Fnomceo Enrico De Pascale, è che se un singolo professionista è inserito in una forma complessa di aggregazione, "soprattutto di natura contrattuale, come reti o gruppi, vedrà i dati dei colleghi, altrimenti non avrebbe avuto motivo di entrare a far parte di una struttura di questo genere. In questo caso, quindi, si potrebbe parlare di dato in larga scala.

Il parere dell’Ordine di Milano

Nel regolamento al paragrafo 2.2 oltre al medico singolo si considera non di larga scala la "piccola azienda a conduzione familiare": si parla di microimpresa fino a 10 dipendenti con fatturato sotto 2 milioni di euro annui. Per il parere Omceo Mi "difficilmente medicine in rete e di gruppo possono raggiungere i valori reddituali di cui alla tabella". E difficilmente una medicina di gruppo potrà avere "confini territoriali vasti e un numero così elevato di pazienti da richiedere la nomina di un DPO". Quanto al "monitoraggio regolare e sistematico", nelle Faq sul regolamento il Garante cita trattamenti che richiedano geolocalizzazione di gestione di dati trasmessi da dispositivi indossabili per il monitoraggio dello stato di salute. «A ciò è estraneo il gruppo o la rete di medicina». Si citano invece laboratori di analisi mediche e centri di riabilitazione.

Il Garante consiglia

La nomina del DPO è però suggerita dal Garante. "Ove i soggetti privati esercitino funzioni pubbliche può risultare fortemente raccomandato, ancorché non obbligatorio". E se si designa un RPD su base volontaria, "si applicano gli identici requisiti validi per i RPD designati in via obbligatoria". “Si tratta di una mera raccomandazione-spiega il parere- il Garante parla di "designazione di un RPD su base volontaria".