GDPR per medici convenzionati ASL

Risposta di

Barbara Weisz

scritto il

Simone chiede

Gentilmente vorrei sapere quali sono gli obblighi GDPR per un medico che esercita in convenzione con l’ASL e che ha circa 500 pazienti?

Barbara Weisz risponde

Il medico tratta dati sensibili, per cui è sicuramente soggetto a numerosi adempimenti. Va anche sottolineato che ha degli obblighi di riservatezza determinati dal normale esercizio dell’attività professionale, che garantiscono quindi la privacy del paziente.

In linea generale, l’adeguamento al GDPR comporta nuovi obblighi legati in particolare alla digitalizzazione, ovvero al fatto che gli studi medici e gli ospedali, trattano i dati in formato digitale, con tutti i rischi (anche di perdita, danneggiamento, diffusione) che questo comporta.

Lo studio del singolo professionista certamente è tenuto, in base al GDPR, ad effettuare la valutazione dei rischi, tenendo conto di tutti gli elementi del caso: finalità del trattamento, necessità e proporzionalità in relazione alle finalità, rischi per i diritti e le libertà degli interessati, garanzie, misure di sicurezza, meccanismi adottati per garantire la protezione dei dati. Ci sono anche obblighi di informativa al paziente (sulle finalità e sulle modalità del trattamento).

Il medico ha tutti gli obblighi di sicurezza relativi ai sistemi di archiviazione, gestione e conservazione dei dati.

Non credo sia invece necessario nominare un DPO, responsabile della protezione dei dati, anche se nel suo caso il numero dei pazienti è elevato. La norma prevede che il DPO sia obbligatorio solo se il trattamento avviene su larga scala, quindi per esempio un ospedale sicuramente deve nominare questa figura professionale, uno studio medico privato non necessariamente. Se però lei è in rete con altri studi medici o con altre strutture sanitarie, e di conseguenza i dati che lei gestisce sono condivisi (ad esempio, in virtù della convenzione con la Asl), allora è obbligatoria la nomina.

Tenga presente che la legge italiana di riforma del Codice della Privacy in adeguamento al GDPR (dlgs 101/2018) prevede comunque che gli enti, anche professionali (come ad esempio l’ordine dei medici), adeguino i proprio Regolamenti al GDPR e al nuovo Codice, sottoponendolo poi al Garante. Nel frattempo, restano comunque valide tutte le norme attualmente previste dai diversi ordinamenti.