DPO in farmacia: obbligo o cautela?

Risposta di

Barbara Weisz

scritto il

Arianna chiede

Salve mi occupo di assistenza hardware e software per farmacie, negli ultimi mesi ci stiamo occupando anche di adeguamento al GDPR nella sola parte informatica – ovvero sicurezza e protezione dei dati nelle farmacie – ma ci stanno chiedendo se devono nominare un DPO. L’associazione di categoria ha diramato una circolare che indica chiaramente che la farmacia non agisce su larga scala e pertanto può essere evitato il DPO ma non siamo certi che il concetto di larga scala non sia applicabile, anche perchè rispetto al territorio ci sono delle farmacie che servono quasi tutti i cittadini di un intero paese.

Barbara Weisz risponde

L’interpretazione dell’associazione dei farmacisti è condivisa anche da altri enti professionali che in queste settimane e in questi mesi hanno pubblicato guide informative per l’adeguamento al GDPR: la normativa obbliga la nomina del DPO nei casi in cui l’impresa o il professionista trattino i dati sensibili su larga scala. Per cui, anche nei casi di professioni che per loro natura prevedono il trattamento di dati sensibili (come i farmacisti, e le altre professioni della sanità), rileva anche il concetto del trattamento su larga scala.

Per esempio, un ospedale deve sicuramente dotarsi di un DPO, mentre uno studio medico non ha questo obbligo. Per quanto riguarda la farmacia, vale evidentemente lo stesso ragionamento. Fra l’altro, mi pare che Federfarma abbia specificato che questa interpretazione sul GDPR è condivisa con il Garante della Privacy.

Però nel caso ad esempio di catene di farmacie, che quindi trattano una mole di dati superiore a quella di un singolo esercizio, la nomina del responsabile del trattamento dei dati è invece indispensabile.

All’interno di queste regole di fondo, è il singolo esercizio che deve sapersi regolare scegliendo la soluzione più indicata in base alla propria attività. In ogni caso, ricordo che la nomina del DPO, anche quando non è obbligatoria, può essere comunque decisa, così come in generale il Regolamento  prevede che ogni titolare del trattamento metta in pratica gli strumenti che ritiene opportuni per rispettare i principi fondamentali della protezione dei dati personali.