A d oggi manca una posizione del Garante Privacy in merito, l’individuazione di tale ruolo è lasciata principalmente alle valutazioni delle ASL in sede contrattuale.
Alcune Asl decidono di nominare la struttura privata accreditata quale responsabile ex art. 28 GDPR essendo l’ASL a delegare la funzione di garanzia della salute alla struttura accreditata, in virtù dell’accordo contrattuale stipulato, quest’ultima, nell’erogazione dell’attività sanitaria, tratta i dati personali dei pazienti per conto della prima. Altre, diversamente, considerano la struttura accreditata quale titolare autonomo del trattamento, in quanto pur dovendo rispettare i requisiti dell’accreditamento e quindi i limiti della “delega sanitaria” affidatale dall’ASL, gode di ampia autonomia decisionale sulla natura e modalità dei servizi offerti ai pazienti e, di conseguenza, anche sulle finalità ed i mezzi del trattamento dei dati personali.
Il primo scenario sembra voler tutelare l’oggetto contrattuale dell’accreditamento sanitario con una evidente attenzione ai dati formali del rapporto. Il secondo, invece, risulta privilegiare la sostanza del rapporto sanitario.
Considerato che l’accreditamento presuppone che sia la struttura sanitaria a instaurare autonomamente una relazione di cura con il paziente, che la elegge nell’esercizio della sua libera scelta, e a esserne esclusivamente responsabile, tale autonomia e indipendenza dovrebbe configurare la struttura accreditata quale titolare del trattamento.
Ribadiamo, però, che nella mancanza di una norma specifica di riferimento al momento l’individuazione del ruolo della struttura accreditata per il trattamento dati personali è lasciata alle valutazioni delle Asl.
In ogni caso, se vuoi verificare se la tua struttura è compliance alla normativa privacy, contattaci.