ARGOMENTO:

Un esempio di architettura articolata può essere quello di un professionista sanitario autorizzato al trattamento dati di pazienti dal titolare (es. poliambulatorio) che, a sua volta, incarica una segretaria personale di gestire la propria agenda, svolgendo la cui attività verrà inevitabilmente a conoscenza anche di dati sanitari di quegli stessi pazienti la cui titolarità non è direttamente in carico al professionista sanitario, ma al poliambulatorio.
Chi è più corretto che nomini la segretaria in qualità di autorizzata al trattamento? Il poliambulatorio o il professionista? Perchè, che se è vero che il poliambulatorio determina modalità e finalità di trattamento nei confronti del professionista, non lo fa però nei confronti della segretaria, con cui non intrattiene alcun rapporto, ma alla quale le istruzioni di trattamento verranno date dal professionista sanitario (che a sua volta le riceve dal poliambulatorio).

E' il caso di sottolineare – leggendo l'art. 9.2, lett h), in combinato disposto con l'art. 9.3 - che i dati sanitari ed eventuali altri dati sensibili (quelle “particolari categorie di dati di cui è vietato il trattamento tranne le eccezioni enumerate) dovranno comunque essere trattati per le finalità di diagnosi, assistenza e terapia “da o sotto la responsabilità di un professionista soggetto al segreto professionale (...)”. Quindi l'architettura delle 'titolarità', nella fattispecie evidenziata, potrebbe farsi più articolata in ragione delle diverse tipologie di dati oggetto di trattamento e delle correlate finalità e basi giuridiche.
Questo significa, anche meglio sviluppando o precisando concetti espressi tempo fa (in particolare sub 495), che di fatto (e di diritto) la struttura poliambulatoriale potrà effettivamente qualificarsi come titolare (ove ne ricorrano i presupposti: decisionalità su fini e mezzi dei trattamenti) per trattamenti di dati ben determinati e limitati ed appoggiandosi su altra base giuridica (rispetto alla 9.2, lett. h) per ciò che riguarda il trattamento ineludibile di alcuni dati sensibili (come può accadere nel caso evidenziato della gestione degli appuntamenti con i singoli professionisti).
Contemporaneamente, però, non potrà venir meno la titolarità dei singoli medici sui trattamenti di dati sensibili (di fatto, per lo più, sanitari) per le finalità di cui all'art. 9.2, lett. h), proprio per il contenuto che ci consegna l'art. 9.3.
La criticità – se fosse veramente tale – potrebbe dirsi largamente superata perché, nel peggiore dei casi (...), i medici saranno da inquadrare allo stesso tempo come autonomi titolari e come autorizzati.

Buongiorno,
avrei dei quesiti al riguardo ovvero in relazione ad un poliambulatorio "organizzato" con una pluralità di medici specialisti.
Se il poliambulatorio, in quanto "strutturato" (ovvero fornendo mezzi e non solo i locali) si configura come Titolare del Trattamento si pone poi il problema della base giuridica. Mi spiego meglio i medici non hanno la necessità di acquisire il consenso per il trattamento dei dati particolari avvalendosi dell'esenzione di cui all'art. 9.2. h. Il poliambulatorio, come società, in veste di Titolare, per trattare i dati particolari anche ad opera del front office (sue segretarie/autorizzate) per organizzare il percorso di cura avvalendosi di altri medici componenti lo staff del poliambulatorio, è tenuto invece ad acquisire un consenso per il trattamento dei dati particolari così come appena descritto?
Come si risolve la criticità legata al fatto che alcuni medici hanno nomi altisonanti, per i quali potrebbe "stonare" la figura di autorizzato?
Grazie

E' inevitabile che laddove siano oggetto dei trattamenti anche dati sanitari, i profili di autorizzazione e dunque le autorizzazioni ai trattamenti li includano. Così come anche gli atti o i contratti relativi alla nomina dei Responsabili debbono includere, in base all'art. 28.3 del Regolamento ed oltre al resto, l'indicazione del “tipo di dati personali” oggetto del trattamento.
I dati sanitari sono, anzi, una particolare sotto-categoria di dati (all'interno della più grande famiglia dei dati sensibili) da trattare con l'adozione di particolari cautele, che il Titolare deve scegliere attentamente, ai sensi dell'art. 32, per garantire la riservatezza e la sicurezza delle relative banche dati.
Sono in assoluta evidenza, a tal fine, senza pretesa di esaustività, la redazione e formalizzazione di un registro dei trattamenti, l'informativa agli interessati, la valutazione di impatto sulla protezione dei dati, le misure della privacy by design e privacy by default e come la cifratura dei dati, nonché la nomina di un RPD.
Per quanto riguarda le cautele da osservare, consiglierei tra l'altro di leggere i chiarimenti del Garante del 7 marzo 2019 sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

L'incarico di Responsabile del Trattamento (al Poliambulatorio) e di Autorizzato (a segretarie e infermieri) potrebbe estendersi al trattamento dei dati sanitari e, se sì, con quali cautele?
Grazie

Il Titolare è sempre il soggetto che determina, ai sensi di legge, finalità e modalità (da intendere in senso ampio) dei trattamenti.
Nella fattispecie, stando alle poche informazioni, bisogna distinguere.
Le strutture poliambulatoriali sovente sono organismi che mettono a disposizione dei medici spazi minimamente organizzati, nei quali i vari professionisti lavorano in totale autonomia, ciascuno prestando il servizio ai propri clienti e utilizzando propri strumenti di lavoro (in particolare gli elaboratori elettronici e più spesso, per ovvie ragioni, pc portatili o notebooks). Se la realtà cui Lei fa riferimento fosse questa, i medici stessi dovrebbero dirsi i Titolari, cosicché ad essi spetterebbe anche di nominare la struttura poliambulatoriale (alla quale si presume accedano in virtù di un accordo contrattuale) Responsabile ex art. 28. La struttura a sua volta dovrebbe nominare Incaricata/Autorizzata la segretaria, anche qui presumendo un sottostante rapporto contrattuale.
Se invece per struttura poliambulatoriale si intende qualcosa di ben più organizzato e, appunto, 'strutturato', che mette a disposizione dei medici gli strumenti di lavoro (gli elaboratori elettronici) e gestisce le banche dati dei (propri) clienti/pazienti cui essa rivolga i servizi avvalendosi delle loro prestazioni professionali, allora il quadro muta considerevolmente e stavolta il Titolare andrebbe identificato nella struttura poliambulatoriale stessa.