24 Maggio 2018

---

---

Tra le norme che vengono indicate non chiare del Regolamento europeo sulla privacy c’è la necessità o meno di nominare un Data Protection Officer, colui deputato a garantire il trattamento dei dati sgravando anche il titolare della struttura, dell’azienda delle responsabilità.L’avvocato Silvia Stefanelli, esperta di diritto sanitario e docente del corso attivato da Odontoaitria33 sulle implicazioni del GDPR nel settore odontoiatrico, approfondisce la questione partendo dalla richiesta, legittima avanzata anche dalla FNOMCeO e CAO che punta a chiedere, tra gli altri, chiarimenti per capire quale tipologia si studio medico ed odontoiatrico è interessato dall’obbligo di nomina del DPO.  

Sulla nomina del DPO, commenta l’avvocato Stefanelli il problema è visto, molto probabilmente “dal punto di vista burocratico ed economico, ulteriori spese per attivare la collaborazione”.

“Io credo che sfugga il quadro complessivo”, continua. “Il nuovo Reg.UE introduce un nuovo modo di “pensare” il trattamento dei dati: vivendo in un’epoca di dati digitali l’obiettivo del GDPR è non solo quello di proteggere i nostri dati (e con essi i nostri diritti fondamentali di cittadini - Cambridge Analytica docet)ma anche quello di consentire - lecitamente -  di fare circolare i dati: cioè di creare e sviluppare economia tramite i dati Forse è sfuggito infatti che questo Regolamento è la spina dorsale della c.d. Data Economy, oggetto di una specifica Comunicazione Europea  - COM(2017) 9 final, 10 gennaio 2017 “Costruire un’economia dei dati europea” (per chi avesse voglia qui trova tutto qui) - secondo la quale nel 2020  l’economia sui dati dovrebbe  raggiungere il 4% dell’intero PIL europeo.

Quindi non solo adempimenti ma anche lo strumento principale per cominciare a ragionare e sviluppare potenzialità economiche tramite i dati. Probabilmente è anche sfuggito che questo nuovo quadro si interseca con le aperture in ambito di informazione sanitaria: oggi infatti - dopo le legge Bersani sulla pubblicità (legge 248/2006), dopo le battaglie processuali sul Codice Deontologico e la nuova più ampia versione dell’art. 54 del suddetto Codice -  il GDPR infatti  fornisce lo strumento giuridico per ragionare e progettare nuovi orizzonti:  come  fidelizzare i pazienti tramite l’invio di newsletter, come creare profili dei pazienti per mirare la mia comunicazione, come gestire correttamente il profili Facebook dello studio, come attivare la App dello studio.

Non finisce qui: la corretta gestione dei dati mi permette anche di gestire i dati per sviluppare ricerca e studi, di collaborare con le aziende del settore Medical Device per il monitoraggio post commercializzazione sui DM (obbligatorio per tutti al maggio 2020 con il nuovo Reg. UE 2017/745) per finire con i nuovi orizzonti che si stanno aprendo con l’applicazione dell’Intelligenza Artificiale in area sanitaria, tema su cui l’Europa il 25 aprile 2018 ha dato una svolta importante attraverso iniziative mirate al  potenziamento della ricerca e del riutilizzo dei dati .

Ora, come si interseca quanto sopra con la nomina (o meno) del DPO? 

Il Data Protection Officer è un garante interno che affianca il Titolare nel trattamento dei dati: senza dubbio svolge una attività di controllo sui trattamenti, ma - se proprio si legge con attenzione - l’art. 39 alla lett. a) afferma anche che il DPO è chiamato a “informare ed fornire consulenza al titolare del trattamento”: quindi (se bravo) può legittimamente essere un propulsore di idee ed iniziative. Poi è anche il soggetto che svolge una attività di “sensibilizzazione e formazione del personale che partecipa ai trattamenti” (lett. b):  e quindi aiuta il Titolare ed i suoi dipendenti a capire il GDPR, a rispettarlo (evitando le sanzioni), ed a traghettare il precedente sistema privacy (sicuramente un po’ burocratico) verso il “nuovo sistema privacy” (dinamico e molto più ricco di potenzialità). In più, essendo un garante interno previsto dalla legge, può diventare il soggetto chiamato , in caso di sanzioni, a risarcire parte delle sanzioni pagate, se ha  svolto male i suoi compiti. 

E veniamo ora a questi (temuti) oneri aggiuntivi. 

Da nessuna parte è scritto che il DPO svolge la sua attività in esclusiva. Ne deriva che nulla osta alla possibilità che più soggetti di stessa area (es network di odontoiatri o odontoiatri di una provincia o regione, anche attraverso la loro sigla associativa) stipulino un contratto congiunto con un DPO per dividere le spese, assicurandosi attraverso clausole di segretezza che lo stesso tuteli di diversi know how di organizzazione professionale.In sostanza è possibile - e lecito -  trovare soluzioni che siano anche economicamente non troppo impattanti.

Allora la mia domanda è: ma siamo veramente sicuri che il possibile risparmio di quei 400-500 euro all’ anno (nell’ipotesi di DPO condiviso) valga la perdita delle garanzie e dei vantaggi che può offrirmi un DPO preparato nonché la perdita della possibilità di aprirmi gli occhi ed aggiornarmi sulle diverse potenzialità di utilizzo dei dati mio settore?  

Sinceramente credo che occorra alzare gli occhi e guardare dove stiamo andando, e non pensate che tutto quanto detto riguardi solo la grossa struttura o lo studio organizzato, la gestione del “dato sensibile” riguarderà anche il titolare del piccolo studio che al termine della propria carriera lavorativa vorrà cederlo con annessa la pazientala. Io non caldeggio per rendere obbligatoria la figura del DPO a tutti, la normativa peraltro non lo prevede, consiglio di guardare la questione non solo come un problema burocratico ma come una possibile opportunità”.