Titolo

Fascicoli

2018

2017

2016

2015

2014

2013

2012

2011

Annate arretrate

Rivista Italiana di Medicina Legale e del Diritto in campo sanitario

Rivista: Rivista Italiana di Medicina Legale (e del Diritto in campo sanitario)
Anno: 2019
Fascicolo: n. 1
Editore: Giuffrè Francis Lefebvre
ISSN: 1124-3376
Autori: Pedrazzi Giorgio
Titolo: IL RUOLO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO) NEL SETTORE SANITARIO
Pagine: pp. 181-186
Keywords: protezione dei dati, privacy, sanità, gdpr

L’istituzione della figura del Data Protection Officer (DPO) è sicuramente una delle più rilevanti novità contenute nel Regolamento Europeo 2016/679, comunemente noto con l’acronimo GDPR. L’articolo ha l’obbiettivo di ricostruire i principali obblighi e di definire con maggiore accuratezza le funzioni che il Responsabile per la protezione dei dati personali, così come denominato nella versione ufficiale italiana del GDPR, è tenuto a svolgere.

La nomina è obbligatoria per alcune specifiche attività ed è facoltativa per altre categorie di titolari del trattamento di dati personali. In particolare, è previsto che gli enti pubblici si dotino necessariamente di questo ruolo nel proprio organigramma. Le competenze del DPO sono trasversali, in quanto intersecano le questioni di cybersicurezza con gli aspetti di compliance sul piano giuridico. Numerosi punti di contatto si realizzano inoltre con i profili del modello organizzativo previsto dalla legge 231/2001 e con gli aspetti connessi alle certificazioni. Allo stato non risultano certificazioni ufficiali, ma gli organismi di settore UNI-ISO hanno già definito alcuni standard applicabili. L’articolo illustra poi il ruolo del DPO in ambito sanitario. L’analisi della letteratura che sta man mano formandosi in materia e della prassi dei garanti europei costituisce la base di partenza per ricostruire una figura professionale nuova e sicuramente innovativa per il nostro ordinamento ma destinata ad assumere un ruolo cruciale nei prossimi anni.

IL RUOLO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO) NEL SETTORE SANITARIO


1) Soccorrono anche i criteri desumibili dalla direttiva 2003/98/UE sul riutilizzo dell’informazione nel settore pubblico (come modificata dalla direttiva 2013/37/UE), recepita con d.lgs. 36/2006.
2) Per citare alcuni contributi sulla nuova figura: D. Ross, GDPR and the Role of the Data Protection Officer, in Risk Management, Oct. 2018, p. 16. Academic OneFile, https://link.galegroup.com/apps/doc/A558823701/AONE; M. Iaselli, Manuale operativo del DPO (Data Protection Officer), Maggioli, Rimini, 2018; A. Avitabile,“Il data protection officer”, in G. Finocchiaro (a cura di), Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Bologna, 2017, p. 331; R. Harris, The Data Protection Officer Profession Rules and Role, CreateSpace Independent Publishing Platform, 2017; V. Bensoussan-Brulé - A. Coquer - D. Entraygues - M. Grateau - B. Lapraye - H. Legras - L. Legris - A. Marc - V. Tirel - C. Torres, Le Data Protection Officer: Une fonction nouvelle dans l’entreprise, Bruylant, 2017; P. Lambert, The Data Protection Officer: Profession, Rules, and Role, Auerbach Publications, 2016; A G. Botana Garcia, La formación del Delegado de Protección de Datos (DPO), in Actualidad civil, 2018.
3) Per una panoramica cfr.: F. Fontanarosa, L’attuazione del Regolamento europeo in tema di protezione dei dati personali alla luce della dicotomia civil law/common law, in A. Mantelero - D. Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa University Press, 2018, p. 195; B. Custers - F. Dechesne - A.M. Sears - T. Tani - S. van der Hof, A comparison of data protection legislation and policies across the EU, in Computer law & security review, 2018, 34, 235.
4) Il Working Party art. 29 era stato istituito in seguito alle disposizioni del corrispondete articolo della direttiva 95/46/CE ed ha svolto un ruolo fondamentale di indirizzo e analisi delle principali problematiche in tema di protezione dei dati personali. Dal momento della piena efficacia del GDPR ha cessato le sue attività ed è stato attivato il Comitato europeo per la protezione dei dati - European Data Protection Board (https://edpb.europa.eu/) con competenze accresciute così come individuate all’art. 70 del GDPR.
5) Il riferimento è rappresentato dalle Guidelines on Data Protection Officers (‘DPOs’), WP243 rev.01, 5.4.2018, disponibili nella traduzione italiana sul sito del Garante.
6) Vedi il documento del 22 gennaio 2019 Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016, pubblicato al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.
7) La pronuncia dell’Autorià Bavarese per la Protezione dei Dati personali (Bayerisches Landesamt für Datenschutzaufsicht) ha comminato una sanzione per il caso dinomina di IT manager come DPO, vedi il comunicato stampa ufficiale al sito https://www.lda.bayern.de/media/pm2016_08.pdf.
8) Una misura organizzativa analoga, con le dovute proporzioni, al Computer Security Incident Response Team (CSIRT) previsto dalla Direttiva (UE) NIS 2016/1148, recepita con D. Lgs. 18 maggio 2018, n. 65.
9) Come espressamente indicato dal comitato dei Garanti Europei alla pagina 12 del documento Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 del 25 maggio 2018 e reperibile al sito istituzionale https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_1_2018_certification_en.pdf.
10) Reperibile in versione inglese e spagnola sul sito istituzionale https://www.aepd.es/reglamento/cumplimiento/common/scheme-aepd-dpd.pdf.
11) Vedi anche la Circolare Accredia DC N° 12/2017 - Informativa in merito all’accreditamento prodotto (ISO/IEC 17065) delle certificazioni rilasciate in conformità allo schema ISDP 10003:2015 - Reg. EU 679/2016 al link https://www.accredia.it/2017/07/20/nuove-regole-per-laccreditamento-delle-certificazioni-per-la-tutela-dei-dati-personali-in-base-al-regolamento-privacy/.
12) F.P. Micozzi, Nomina DPO: la prima sentenza italiana dopo l’entrata in vigore del GDPR, in Quotidiano giuridico, 19 settembre 2018 http://www.quotidianogiuridico.it/documents/2018/09/19/nomina-dpo-la-prima-sentenza-italiana-dopo-l-entrata-in-vigore-del-gdpr.
13) Vedi in ambito italiano il Rapporto Clusit 2019 https://clusit.it/rapporto-clusit/ e il Global Risk Report del World Economic Forum https://www.weforum.org/reports/the-global-risks-report-2019.
14) L. Williatte-Pellitteri, New Technologies, Telemedicine, eHealth, Data...What Are You Talking About? The Lawyer’s Point of View, in A. André (a cura di), Digital Medicine, Springer, Cham, 2019, 93; N. Cortez, The Evolving Law and Ethics of Digital Health. in H. Rivas - K. Wac (a cura di), Digital Health Scaling Healthcare to the World, Springer, Cham, p. 249.
1) Soccorrono anche i criteri desumibili dalla direttiva 2003/98/UE sul riutilizzo dell’informazione nel settore pubblico (come modificata dalla direttiva 2013/37/UE), recepita con d.lgs. 36/2006.
2) Per citare alcuni contributi sulla nuova figura: D. Ross, GDPR and the Role of the Data Protection Officer, in Risk Management, Oct. 2018, p. 16. Academic OneFile, https://link.galegroup.com/apps/doc/A558823701/AONE; M. Iaselli, Manuale operativo del DPO (Data Protection Officer), Maggioli, Rimini, 2018; A. Avitabile,“Il data protection officer”, in G. Finocchiaro (a cura di), Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Bologna, 2017, p. 331; R. Harris, The Data Protection Officer Profession Rules and Role, CreateSpace Independent Publishing Platform, 2017; V. Bensoussan-Brulé - A. Coquer - D. Entraygues - M. Grateau - B. Lapraye - H. Legras - L. Legris - A. Marc - V. Tirel - C. Torres, Le Data Protection Officer: Une fonction nouvelle dans l’entreprise, Bruylant, 2017; P. Lambert, The Data Protection Officer: Profession, Rules, and Role, Auerbach Publications, 2016; A G. Botana Garcia, La formación del Delegado de Protección de Datos (DPO), in Actualidad civil, 2018.
3) Per una panoramica cfr.: F. Fontanarosa, L’attuazione del Regolamento europeo in tema di protezione dei dati personali alla luce della dicotomia civil law/common law, in A. Mantelero - D. Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa University Press, 2018, p. 195; B. Custers - F. Dechesne - A.M. Sears - T. Tani - S. van der Hof, A comparison of data protection legislation and policies across the EU, in Computer law & security review, 2018, 34, 235.
4) Il Working Party art. 29 era stato istituito in seguito alle disposizioni del corrispondete articolo della direttiva 95/46/CE ed ha svolto un ruolo fondamentale di indirizzo e analisi delle principali problematiche in tema di protezione dei dati personali. Dal momento della piena efficacia del GDPR ha cessato le sue attività ed è stato attivato il Comitato europeo per la protezione dei dati - European Data Protection Board (https://edpb.europa.eu/) con competenze accresciute così come individuate all’art. 70 del GDPR.
5) Il riferimento è rappresentato dalle Guidelines on Data Protection Officers (‘DPOs’), WP243 rev.01, 5.4.2018, disponibili nella traduzione italiana sul sito del Garante.
6) Vedi il documento del 22 gennaio 2019 Risposta a un quesito relativo al ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016, pubblicato al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970.
7) La pronuncia dell’Autorià Bavarese per la Protezione dei Dati personali (Bayerisches Landesamt für Datenschutzaufsicht) ha comminato una sanzione per il caso dinomina di IT manager come DPO, vedi il comunicato stampa ufficiale al sito https://www.lda.bayern.de/media/pm2016_08.pdf.
8) Una misura organizzativa analoga, con le dovute proporzioni, al Computer Security Incident Response Team (CSIRT) previsto dalla Direttiva (UE) NIS 2016/1148, recepita con D. Lgs. 18 maggio 2018, n. 65.
9) Come espressamente indicato dal comitato dei Garanti Europei alla pagina 12 del documento Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 del 25 maggio 2018 e reperibile al sito istituzionale https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_1_2018_certification_en.pdf.
10) Reperibile in versione inglese e spagnola sul sito istituzionale https://www.aepd.es/reglamento/cumplimiento/common/scheme-aepd-dpd.pdf.
11) Vedi anche la Circolare Accredia DC N° 12/2017 - Informativa in merito all’accreditamento prodotto (ISO/IEC 17065) delle certificazioni rilasciate in conformità allo schema ISDP 10003:2015 - Reg. EU 679/2016 al link https://www.accredia.it/2017/07/20/nuove-regole-per-laccreditamento-delle-certificazioni-per-la-tutela-dei-dati-personali-in-base-al-regolamento-privacy/.
12) F.P. Micozzi, Nomina DPO: la prima sentenza italiana dopo l’entrata in vigore del GDPR, in Quotidiano giuridico, 19 settembre 2018 http://www.quotidianogiuridico.it/documents/2018/09/19/nomina-dpo-la-prima-sentenza-italiana-dopo-l-entrata-in-vigore-del-gdpr.
13) Vedi in ambito italiano il Rapporto Clusit 2019 https://clusit.it/rapporto-clusit/ e il Global Risk Report del World Economic Forum https://www.weforum.org/reports/the-global-risks-report-2019.
14) L. Williatte-Pellitteri, New Technologies, Telemedicine, eHealth, Data...What Are You Talking About? The Lawyer’s Point of View, in A. André (a cura di), Digital Medicine, Springer, Cham, 2019, 93; N. Cortez, The Evolving Law and Ethics of Digital Health. in H. Rivas - K. Wac (a cura di), Digital Health Scaling Healthcare to the World, Springer, Cham, p. 249.
please wait

Caricamento in corso...