Il Dpo non deve assumere ruoli tipici del titolare del trattamento

Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento.

La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto, ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.

L'autorità ha avviato una istruttoria su una azienda sanitaria del Lazio evidenziando una serie di irregolarità nella gestione delle necessarie informative sul corretto trattamento dei dati personali.

Alla richiesta di chiarimenti l'azienda ha riscontrato trasmettendo al garante la relazione del responsabile della protezione dei dati che ha ulteriormente complicato la vicenda. Le informative da rendere agli interessati devono essere corrette e non sottoscritte dal dpo.

L'obbligo e la conseguente responsabilità anche in materia di trasparenza ricadono infatti sul titolare che può avvalersi della consulenza del dpo ma non delegarlo allo svolgimento di funzioni tipiche del titolare.

(Testo di Stefano Manzelli)