Il DPO negli studi medici e laboratori di analisi può essere una figura spesso obbligatoria, bisogna quindi analizzare la normativa per comprendere quando è così.
Il Data Protection Officer, è “un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD”.
Tale soggetto, ai sensi del paragrafo 5 dell’art. 37 cit. “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” e la sua nomina è obbligatoria non solo per enti pubblici ma anche per diversi soggetti privati.
Più segnatamente, l’Autorità Garante nelle proprie FAQ relative alla nomina del DPO in ambito privato ha previsto un elenco, non tassativo, di soggetti tenuti alla nomina di tale figura ed in particolare tra gli stessi vi rientrano: “concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.
Come specificato dal Garante, dunque, tenuti alla nomina del DPO sono, tra gli altri, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.
L’obbligo per questi soggetti privati di nominare un DPO trova la sua ratio nel fatto che tali strutture trattano quelli che dal GDPR sono definiti “dati sensibili”. In particolare, rientrano in tale categoria di dati, ai sensi dell’art. 9 del GDPR, quelli relativi allo stato di salute degli interessati.
Ne consegue che, la scelta del DPO per società operanti nel settore medico dovrà ricadere su di un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all’art. 39 del GDPR, al fine di garantire che il trattamento dei dati sensibili avvenga nel pieno rispetto delle previsioni del Regolamento Europeo.
Il nostro studio offre un servizio DPO per tutte le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.
CONTATTACI subito per avere un preventivo per la tua attività.
Marta Strazzullo
