GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie

L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie ed ASL.

Come sapevamo, il medico non deve più chiedere il consenso per tutti i trattamenti che riguardano finalità di cura.

Si presti però estrema attenzione al fatto che trattamenti diversi da questa specifica finalità necessitano di altra base giuridica (o del relativo consenso).

Da evidenziare la precisazione della Autority che in ambito sanitario è sussistente, in linea generale, l’obbligo di tenuta del registro dei trattamenti; pertanto sia singoli professionisti, pediatri, studi medici associati, ospedali privati, case di cura, RSA, aziende sanitarie, farmacie debbono avere il registro dei trattamenti.

Per quanto riguarda il DPO, il singolo medico, le farmacie, parafarmacie ed ortopediche non sono tenute alla nomina; essa è invece richiesta a studi medici associati, case di cura, ospedali privati, centri diagnostici, RSA, centri chirurgici e tutti coloro che effettuano trattamenti sanitari in larga scala.

Per approfondimenti segnalo i miei post precedenti: studi medici e DPOsoggetti privati obbligati alla nomina del DPO.

Contattateci per avere supporto alla compilazione del registro dei trattamenti o per il approfondimenti in merito al ruolo di DPO in ambiti sanitari

DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni ed aziende private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (tra le altre incombenze, diverrà il suo punto di contatto con l’organizzazione); è stata predisposta una apposita procedura di comunicazione del RPD.