L’adeguamento al nuovo regolamento generale sulla protezione dei dati (GDPR) procede a passi spediti per le aziende, ma nel processo di implementazione delle buone pratiche prescritte dal regolamento rimangono delle “zone grigie” che destano preoccupazione.
Una di queste riguarda il settore medico, che per la natura dei dati trattati (cartelle cliniche, diagnosi, referti) rappresenta uno degli ambiti in cui una puntuale applicazione del GDPR dovrebbe rappresentare una priorità.
“Il panorama che emerge dal nostro osservatorio evidenzia come la stragrande maggioranza dei medici di base che lavorano in medicina di gruppo non abbia ancora nominato un Responsabile Protezione Dati (RPD)” spiega Silvia Matteucci, consulente privacy di GDPRLab.
La nomina di un RPD per i medici convenzionati nel servizio sanitario nazionale non è obbligatoria, ma il garante, sul sito ufficiale dell’autorità garante, precisa che “ove i soggetti privati esercitino funzioni pubbliche può risultare fortemente raccomandato, ancorché non obbligatorio”.
Non solo: nello stesso testo specifica che, se si designa un RPD su base volontaria, “si applicano gli identici requisiti validi per i RPD designati in via obbligatoria”.
“Il fatto che queste raccomandazioni siano sostanzialmente cadute nel vuoto è la conseguenza di un brutto vizio che conosciamo bene” prosegue Silvia Matteucci. “Troppo spesso, infatti, i regolamenti vengono seguiti solo per le parti obbligatorie, ma raccomandazioni e consigli vengono sistematicamente ignorati”.
In qualche caso, poi, l’inerzia travolge anche aspetti obbligatori, come nel caso dell’obbligo di formazione degli incaricati al trattamento dei dati (quindi sia gli stessi medici che il personale degli ambulatori) espressamente indicato all’articolo 29 del GDPR. Anche in questo ambito, nel settore, GDPRLab sottolinea che la sensibilità è scarsissima.