E’ trascorso un giorno dall’entrata in vigore del Gdpr sulla privacy e nel mondo della Sanità l’interrogativo che continua a dominare riguarda l’obbligo del Dpo (Data protection officer), il Responsabile della protezione dei dati. E’ un dilemma che preoccupa perché la posta in gioco non è indifferente: prendersene uno e poi scoprire che non ce n’era bisogno rischia di rivelarsi un errore costoso, non farlo e poi vedersi sanzionati potrebbe esserlo ancora di più. E’ per questo motivo che ieri il presidente della Federazione degli ordini dei medici, Filippo Anelli, e il presidente della Commissione albo odontoiatri, Raffale Iandolo, hanno scritto al Garante della privacy per chiedere un incontro. Dal quale i due vorrebbero uscire con risposte chiare su un quesito prima di ogni altro: i medici e gli odontoiatri che esercitano la libera professione nel loro studio, in forma singola o associata, devono tutti dotarsi di un Dpo? La discriminante tra sì e no, come noto, sarebbe rappresentata dal fatto che il soggetto tratta o meno «dati su larga scala», ma è lapalissiano che l’indicazione invita a un’estesa libertà interpretativa. L’Ordine dunque vorrebbe qualche certezza in più, e se l’orientamento per gli studi monoprofessionali pare quello di considerare la figura del Dpo non obbligatoria ma «fortemente consigliata», il destino degli studi associati resta nell’indeterminatezza più assoluta.

Il dilemma, sulla carta, dovrebbe riguardare anche le farmacie: un conto è l’esercizio indipendente, un altro la catena (reale o virtuale) o anche solo la società di farmacisti che gestisce quattro, cinque o sei farmacie, dalle quali passano ben altri volumi di dati. Ne è consapevole anche Federfarma: nella circolare sul Gdpr del marzo scorso, la Federazione assicurava che «le farmacie non effettuano trattamenti su larga scala e pertanto non devono designare il Dpo», anche se «tale considerazione non è estensibile tout court alle grandi catene di farmacie».

Già, ma «grandi» quanto? Assofarm propende per una lettura decisamente restrittiva: al punto che le indicazioni trasmesse nei giorni scorsi alle farmacie pubbliche caldeggiano il ricorso al Dpo da parte di tutte le municipalizzate che controllano più di una farmacia. La matassa, insomma, rimane imbrogliata e il decreto legislativo di attuazione, che dovrebbe armonizzare le nuove norme del Gdpr con le vecchie del Codice sulla privacy e dunque fornire qualche chiarimento in più, è ancora ben lontano dall’approvazione. Ieri le Commissioni speciali di Camera e Senato (istituite per sbrigare le incombenze urgenti in attesa che vengano insediate le commissioni permanenti) hanno iniziato l’esame del testo e si sono subito prese quattro settimane in più per terminare il lavoro. La bozza contiene parecchi errori, hanno detto i relatori, e va riscritta estesamente. E a tale scopo, le Commissioni avvieranno un giro di audizioni tra le parti interessate per raccogliere indicazioni e valutazioni. La Federazione degli ordini dei medici si è subito messa in lista, Federfarma farà certamente altrettanto.

Vale la pena di chiudere con un veloce cenno a quanto sta accadendo in Germania: anche qui mancano certezze sull’obbligo o meno del Dpo in farmacia, ma l’orientamento ufficioso delle autorità è quello di escludere dalla norma gli esercizi con meno di dieci dipendenti. Anche se il dibattito è aperto: quando il Gdpr parla di trattamento dati su larga scala, è l’obiezione di chi vorrebbe il Dpo in tutte le farmacie tedesche, fa riferimento anche alle ricette mediche, che scorrono a fiumi nei grandi così come nei piccoli esercizi. Una sola cosa diventa certa, allora: se neanche i tedeschi sanno che pesci pigliare, vuol dire che il problema è serio.