In un recente provvedimento emesso nei confronti dell’Azienda Sanitaria Locale Frosinone, l’Autorità Garante ha ribadito un principio di fondamentale importanza: il Responsabile della protezione dei dati non deve assumere il ruolo del titolare del trattamento ma limitarsi a svolgere il ruolo di “mero” consulente.
Tale assunto è il risultato di un’attività istruttoria avviata dall’Autorità Garante a seguito di una segnalazione pervenuta alla stessa in merito ad una presunta violazione della disciplina in materia di protezione dei dati personali da parte della citata Azienda Sanitaria.
Nel dettaglio veniva contestata l’indicazione del consenso come base giuridica per il trattamento dei dati svolto nei confronti dei pazienti per le finalità di cura.
In ragione di ciò l’Autorità Garante avviava un’istruttoria nei confronti dell’Azienda Sanitaria, da cui discendevano ulteriori profili di criticità relativi ai documenti informativi reperiti sulla relativa pagina web in relazione alla mancata previsione di idonee basi giuridiche per ciascuna finalità del trattamento indicata.
Ebbene, con una nota di riscontro, l’Azienda Sanitaria inviava una relazione del Responsabile della protezione dei dati corredata dei testi di informativa aggiornati secondo le indicazioni fornite dall’Autorità Garante che, nonostante avesse quale obiettivo quello di “sanare” le contestazioni mosse, peggiorava ulteriormente la vicenda.
L’Autorità Garante, infatti, rilevava un’ulteriore non conformità dei documenti informativi condivisi in ragione della previsione della sottoscrizione degli stessi da parte del Responsabile della protezione dei dati personali.
L’obbligo e la relativa responsabilità di rendere le informazioni agli interessati grava, sottolinea l’Autorità Garante, esclusivamente in capo ai titolari del trattamento che, a loro volta, possono avvalersi della figura del Responsabile della protezione dei dati quale mero consulente.
Il Responsabile della protezione dei dati, dunque, non può e non deve identificarsi quale soggetto delegato allo svolgimento di funzioni tipiche dei titolari del trattamento quali quelle relative alla predisposizione dei documenti informativi da mettere a disposizione degli interessati nel rispetto dei principi di correttezza e trasparenza di cui agli artt. 12 e 13 del Regolamento UE 2016/679.