Uso di piattaforme di telemedicina: distinzione dei ruoli tra titolare e responsabile del trattamento - Cyber Security 360

ESPERTO RISPONDE

Uso di piattaforme di telemedicina: distinzione dei ruoli tra titolare e responsabile del trattamento

13 Mag 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

DOMANDA

Stiamo cercando di capire, per un nostro cliente, quale sia la distinzione dei ruoli tra titolare e responsabile del trattamento nel caso di utilizzo di una piattaforma di telemedicina.

Sarebbe nostro parere che chi inserisce i dati del paziente dovrebbe essere individuato come titolare e l’azienda che possiede la piattaforma come responsabile.

È corretto?

RISPOSTA

Le Linee Guida dell’EDPB chiariscono che il titolare del trattamento è il soggetto che ha potere di decidere in autonomia le finalità e i mezzi del trattamento.

Tale potere, quando non è definito dalla legge, deve essere verificato analizzando gli elementi di fatto e le specifiche circostanze del caso concreto, inclusi i termini contrattuali esistenti tra le parti.

L’EDPB precisa anche che:

  1. il titolare determina le finalità e i mezzi del trattamento, ovvero il perché e il come del trattamento;
  2. il titolare è tale se decide sia sulle finalità che sui mezzi, anche se alcuni aspetti relativi alle modalità del trattamento ed ai mezzi impiegati, i c.d. “mezzi non essenziali”, possono essere lasciati alla scelta del responsabile;
  3. il titolare è tale anche se non accede ai dati, laddove determini scopi e mezzi essenziali.

Le condizioni espressamente indicate per qualificare un soggetto come responsabile sono essenzialmente due:

  1. essere una entità separata rispetto al titolare
  2. trattare i dati personali del titolare per suo conto, dove “per suo conto” significa principalmente “a beneficio di”, “nell’interesse di”. Il responsabile serve, quindi, gli interessi del titolare, non tratta i dati per perseguire propri scopi, non determina le finalità né i mezzi essenziali del trattamento e agisce secondo le istruzioni ricevute dal titolare del trattamento.

Per provare a chiarire questi concetti, facciamo due esempi pratici, iniziando da quello di una società che fornisce il servizio di taxi: la stessa società è un titolare del trattamento, poiché tratta i dati personali dei dipendenti come parte del servizio di trasporto, che svolge senza alcuna istruzioni da parte della società ABC, determinandone finalità e mezzi.

Il servizio taxi determina anche in modo indipendente le categorie di dati che raccoglie e per quanto tempo li conserva, agisce quindi come titolare, seppure il trattamento avvenga a seguito di una richiesta di servizio da parte della società ABC (su richiesta di ABC, che usufruisce del servizio per semplificare la prenotazione del taxi ai propri dipendenti o terzi, ma non “per conto” di ABC).

Di contro, facciamo l’esempio di un Cloud service provider e di un Comune che ha deciso di utilizzare un fornitore di servizi cloud per la gestione delle informazioni nella sua scuola e dei servizi educativi.

Il Comune è titolare del trattamento e il cloud service provider responsabile del trattamento. È il Comune che decide le finalità dei trattamenti e che deve assicurare gli adempimenti ex art 28, tra cui che il service provider rispetti le specifiche istruzioni impartite sui periodi di conservazione, la cancellazione dei dati e via dicendo.

Il ruolo del responsabile deve, quindi, essere determinato caso per caso sulla base delle attività concrete in uno specifico contesto, analizzando la natura del servizio e accertando il grado di influenza che ciascuna parte ha in concreto nella determinazione delle finalità e dei mezzi essenziali del trattamento.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: info@Cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5