GDPR: certificati medici e DPO nel centro sportivo
Ecco alcuni chiarimenti in merito al regolamento europeo UE 679/2016 in materia di trattamento dei dati a seguito di alcune domande poste all’avvocato Marco Giuri nei webinar tenuti nel mese di maggio 2018.
E’ obbligatorio avere un DPO in un centro sportivo di circa 2000 iscritti dove i dati sensibili che vengono trattati sono il certificato medico che consegnano, iscrizione al centro, e email dove mandiamo solo le nostre promozioni?
Esaminando l’art. 37 GDPR, esso prevede la nomina obbligatoria dei DPO in casi ben precisi e qualora il trattamento dei dati riguardi dati sensibili su larga scala. Dal momento che un centro sportivo (se isolato e senza sedi sparse sul territorio) non dovrebbe trattare dati sensibili su larga scala ritengo non dovuto il DPO (ma va valutato caso per caso). Inoltre il certificato medico di idoneità alla pratica sportiva potrebbe non rappresentare un dato sensibile trattato in via principale.
Infatti il certificato medico di idoneità, per le informazioni che riporta (“idoneità alla pratica sportiva” o “il soggetto non riporta controindicazioni in atto alla pratica sportiva”) direi che potrebbe anche esser definito come dato non sensibile.
I certificati medici e i fogli iscrizione vanno distrutti dopo 1 anno o vanno conservati?
Il Decreto Balduzzi (D.M. 24.4.2013) e successive disposizioni prevedono un obbligo in capo al medico che rilascia il certificato di idoneità di conservarlo per un anno. Per mero scrupolo “difensivo” consiglierei la conservazione per almeno 2 anni, questo per far conservare una prova al nostro cliente qualora fosse esposto ad un’azione eventuale di risarcimento da parte di un iscritto (prescrizione biennale se trattasi di infortuni). Inoltre, la scheda di iscrizione in tal caso, potrebbe risultare utile anche per eventuali attività promozionali.
I certificati medici e i fogli iscrizione vanno anche conservati digitalmente?
Per quanto riguarda la conservazione di certificato e scheda iscrizione, non mi sembra ci siano delle prescrizioni specifiche per cui direi che potrebbe ritenersi sufficiente la conservazione cartacea. La digitalizzazione del certificato e della scheda iscrizione comporterebbe una maggiore attenzione in termini di sicurezza sull’accesso e sull’attacco ai sistemi informatici. Certo che se invece la digitalizzazione del certificato avviene utilizzando software adeguati che permettono la sicurezza e tracciabilità di accesso degli operatori e la conservazione sicura da eventuali attacchi è sicuramente da preferirsi rispetto al cartaceo. Anche per la scheda di iscrizione con la raccolta dei consensi per il trattamento dei dati se gestita digitalmente, ad esempio con sistemi di firma grafocerta, con software adeguatamente strutturati diventa più sicuro il digitale. Questo perchè con software di questo tipo c’è la gestione dell’accessibilità al dato che è protetto da diritti operatori specifici. Per questo tema vi invito ad approfondire con i vostri fornitori di software la soluzione più adatta.
Per quanto tempo possso o devo conservare il certificato medico e il foglio iscrizione?
Dipende se avete un obbligo di legge alla conservazione. In mancanza vanno gettati e distrutti in modo adeguato salvo diverse esigenze (es tutela legale) . Sono informazioni da inserire in informativa.
Nella nostra azienda c’è anche un reparto sanitario, è necessaria la figura del DPO? Inoltre qualora volessimo nominarlo internamente va fatta comunicazione al garante?
La nonima del DPO è necessaria se si trattano dati sanitari in larga scala occorre. La nomina andava fatta e comunicata entro il 25 maggio 2018. La nomina del DPO va comunicata al Garante Privacy a mezzo sito web dell’Autorità.
Per maggiori informazioni partecipate al corso del 31 maggio a RiminiWellness con l’avvocato Marco Giuri ed il dott. Marco Amato.