La designazione del Responsabile della protezione dei dati (RPD) nel GDPR è obbligatoria per le autorità o organismi pubblici poiché costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni di cui all’art. 37 GDPR.[i]
1) In generale, si ritiene che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.
2) Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala[1].
3) Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala alla luce di quanto indicato nel Regolamento (considerando n. 91) [2] . In tal senso, anche il Gruppo di lavoro per la protezione dei dati[3] indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario
4) Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.
[1] Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018.
[2] Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.
[3] Oggi Comitato europeo per la protezione dei dati-art. 68 del Regolamento
[i] Garante Privacy 7 Marzo 2019 [9091942]
La designazione del Responsabile della protezione dei dati (RPD) nel GDPR è obbligatoria per le autorità o organismi pubblici poiché costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni di cui all’art. 37 GDPR.[i]
1) In generale, si ritiene che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.
2) Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala[1].
3) Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala alla luce di quanto indicato nel Regolamento (considerando n. 91) [2] . In tal senso, anche il Gruppo di lavoro per la protezione dei dati[3] indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario
4) Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.
[1] Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018.
[2] Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.
[3] Oggi Comitato europeo per la protezione dei dati-art. 68 del Regolamento
[i] Garante Privacy 7 Marzo 2019 [9091942]
