DPO per studi medici

Risposta di

Barbara Weisz

scritto il

Francesco chiede

Uno studio dentistico mono-professionale con un dipendente (assistente alla poltrona), qualche consulente esterno (es. chirurgia orale, implantologia, ortodonzia) e un paio di fornitori a cui trasferisce i dati per i manufatti da realizzare (laboratori odontotecnici) ha l’obbligo di nomina del DPO? Si tratta di un libero professionista, dunque rientrerebbe nei casi di esonero. Qual è la vostra opinione al riguardo?

Barbara Weisz risponde

Premesso che le consiglio di consultare anche altre fonti, in considerazione del fatto che il Regolamento è nuovo e di conseguenza le interpretazioni possono non essere univoche, credo che la sua osservazione sia corretta: uno studio dentistico con le caratteristiche da lei riportate non dovrebbe avere l’obbligo di nomina del DPO pur trattando dati personali sensibili, quali sono inequivocabilmente le informazioni relative alla salute delle persone.

L’articolo 37 del GDPR, che prevede la nomina del DPO (responsabile protezione dei dati), prevede che, nel caso dei privati, l’obbligo sussista nel caso in cui il trattamento dei dati avvenga “su larga scala”.

Il concetto di “larga scala” no è precisamente definito dalla normativa, ma un buon riferimento può essere rappresentato dalle linee guida pubblicate dal Gruppo Articolo 29 (organismo indipendente europeo). Forniscono un criterio di massima per stabilire se un trattamento avviene su larga scala (numero di soggetti interessati, volume dei dati, durata, portata geografica), e presentano una serie di esempi pratici, fra i quali c’è la risposta al suo quesito: nel caso dei dati sanitari, che come detto sono sempre sensibili, la nomina del DPO sarà sicuramente necessaria per un ospedale, non per un singolo professionista sanitario.