Il trattamento dei dati personali è una tematica importante per il professionista, perché a mio avviso il

professionista nei tempi moderni non può essere soltanto preparato dal punto di vista scientifico, ma deve
essere anche preparato dal punto di vista organizzativo e normativo. Queste norme non devono essere
viste come un appesantimento burocratico del lavoro della professione, ma devono essere viste anche
come un’opportunità per poter svolgere al meglio il nostro loro e per potere offrire al cliente un servizio
adeguato ai tempi moderni, perché adesso la sensibilità del cliente alla propria privacy va sempre più
aumentando. Quindi un approccio alla normativa dal punto di vista competitivo può facilitare la corretta
applicazione della normativa.

“Segreto professionale” e “Riservatezza e Protezione dei dati personali” hanno un campo di applicazione
solo parzialmente coincidente, perché per il resto hanno finalità diverse e regolamentazione giuridica
anch'essa diversa.

Il segreto professionale, o meglio la divulgazione di segreto professionale, è, nel nostro ordinamento,

considerato un reato previsto dall'articolo 622 del codice penale, il quale prevede che chiunque, avendo
notizia per ragione della propria professione di un segreto, lo riveli senza giusta causa, ovvero lo impiega a
proprio o altrui profitto, è punito, se dal fatto deriva nocumento, con la reclusione sino ad un anno o con la
multa da 30 a 516 €. La ratio di questa norma è quella di tutelare il professionista da indebite interferenze
da parte di altri soggetti e quella di rafforzare il diritto alla salute. È previsto dall'articolo 32 della
costituzione, se io so che il professionista della salute dal quale vado è vincolato dal segreto professionale
sono più invogliato ad andarci, diversamente, se non avesse questo vincolo, con la paura che quello che io
dico nell’occasione del mio incontro col professionista possa essere divulgato sono meno invogliato ad
andare a curare la mia salute.

Il trattamento dei dati personali spesso viene definito con un termine improprio, privacy, che è limitativo
perché fa soltanto riferimento alla parte relativa alla riservatezza della persona. La normativa sul
trattamento dei dati personali guarda una fattispecie più ampia che comprende anche il la protezione del
dato, la sicurezza delle informazioni e l'obbligo, che ha chiunque tratti dati, di garantirne la riservatezza,
l'integrità e la disponibilità.

Il professionista, così come tutti coloro che trattano i dati personali, è vincolato alla normativa sul
trattamento dei dati personali e questo vincolo mi hai richiamato anche al codice deontologico, articolo 11
prevede che il biologo, nell'esercizio della professione, nell’organizzazione della sua attività, è tenuto a
rispettare le leggi e i regolamenti dello Stato. Tra queste leggi e questi regolamenti dello Stato c'è
sicuramente la normativa sul trattamento dei dati personali che ha avuto uno specifico excursus normativo.
Il dato fondamentale è che il 25 maggio del 2018 è entrato in vigore in tutti i paesi europei il regolamento
UE 2016/79 che ha modificato la normativa italiana precedente in vigore, la 196 del 2003, e che ha creato
un cambiamento di mentalità rispetto al passato. Il D.Lgs. 101 del 2018 crea delle norme di raccordo fra il
regolamento e il decreto legislativo 196 del 2003. La dicitura corretta quando si parla di trattamento dati
personali, se si vogliono o elencare tutte le normative che riguarda il trattamento dei dati personali in Italia.
è: ai sensi del regolamento Ue 2016/679 e del decreto legislativo 196 del 2003, così come modificato dal
regolamento e dal decreto legislativo 101 del 2018.

Quali sono i soggetti coinvolti nel trattamento dei dati personali? Da un lato abbiamo l’interessato che è la
persona alla quale si riferisce il dato, quindi sarà il cliente del professionista. Dall’altro lato abbiamo tutta la
squadra del titolare, colui il quale decide le finalità del trattamento e i mezzi del trattamento (per finalità di
consulenza nutrizionale, per finalità di elaborazione di analisi cliniche…). Decidendo la finalità sono anche
responsabile della corretta applicazione del regolamento. Nel caso del libero professionista il titolare al
trattamento sarà il singolo libero professionista, nel caso di una società il titolare del trattamento sarà la
società stessa in persona del legale rappresentante. Quindi si può dire che il titolare del trattamento è
figura principale della normativa, perché anche il destinatario ha delle sanzioni pecuniarie previste per la
mancata applicazione del regolamento. Quindi il titolare decide le finalità e le modalità del trattamento. I
dati gli vengono conferiti dall’interessato. Il titolare del trattamento, per poter trattare i dati, può avvalersi
di soggetti autorizzati, cioè deve conferire un'autorizzazione specifica. Facendo l'esempio dello studio
professionale, a coloro che lavorano nello studio professionale, come il personale di segreteria, o del
laboratorio, come i tirocinanti, devono essere specificamente autorizzati al trattamento dei dati personali.
Siccome il titolare è responsabile anche dell’applicazione della normativa, deve dare le direttive su come
devono essere trattati i dati all'interno della sua struttura. Se i dati, per alcune operazioni di trattamento,
devono andare all'esterno della struttura, si dovrà nominare un responsabile, ai sensi articolo 28 del
regolamento, che viene delegato a compiere questa attività per conto del titolare del trattamento.
L'esempio più facile è quello del commercialista: l’interessato conferisce i dati, il titolare elabora il piano
nutrizionale, dopodiché dovrà fare la fattura che dovrà essere trasmessa al commercialista, chiaramente
senza i dati relativi alle eventuali patologie, ma soltanto i dati fiscali. Però, per effettuare questo passaggio
dallo studio del professionista, è necessario che il professionista esterno venga investito proprio da una
responsabilità: gli si dica “guarda che i dati, che continuano ad essere miei, te li sto affidando soltanto per
compiere quelle operazioni, li devi trattare così, devi sostanzialmente seguire le mie istruzioni, perché io
continui ad essere il titolare del trattamento e tu potrai solta compiere quelle operazioni che io ti chiedo”.
Si parla del commercialista, ma può essere anche un consulente del lavoro che elabora le buste paga,
insomma tutte le volte che il dato deve essere trasmesso all'esterno è necessario nominare un
responsabile. La figura del responsabile protezione dati è una figura eventuale in questa sede, mi basta
sapere che ad esempio se avete intenzione di aprire un laboratorio di analisi, allora dovrà essere nominato
un responsabile protezione dati.

Con l'entrata in vigore del regolamento UE 2016/679 è cambiato proprio l’approccio alla problematica.
Prima, con la 196 del 2003, veniva fatto un elenco di adempimenti a carico del titolare del trattamento.
Adesso il titolare del trattamento viene lasciato libero di applicare la normativa, purché il trattamento sia
adeguato a garantire la correttezza del trattamento. L’articolo 24 del regolamento prevede che, tenuto
conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei
rischi aventi probabilità e gravità diverse per i denti libertà le persone fisiche, il titolare del trattamento
mette in atto misure tecniche, quelle informatiche, e organizzative, quelle contrattuali, adeguate a
garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.
Quindi, non ti dico cosa devi fare, ma ti dico, nell'ambito della tua responsabilizzazione, siccome sei tu che
sei responsabile del trattamento, sei tu che sai dove tratti i dati, sei tu che sai tutto il contesto in cui tratti i
dati, sai le misure di sicurezza che hai attuato, sarai tu a stabilire se queste sono adeguate o no. E devi
anche essere in grado di dimostrarlo, in caso di eventuali controlli.

Tra gli adempimenti più importanti c’è quello dell' informativa, cioè il titolare, prima di raccogliere il dato, o
deve dare delle informazioni all’interessato, per esempio sulle finalità del trattamento (è il titolare che deve
stabilire quali sono le finalità del trattamento), sugli eventuali destinatari/categorie di destinatari dei dati
personali, cioè dobbiamo rappresentare all'interessato il percorso del una volta che questo lo conferisce.
Quindi in questo caso gli diremo: “i suoi dati potrebbero essere comunicati a un soggetto esterno che cura
la contabilità dello studio per la finalità di elaborazione della contabilità”. Deve essere altresì indicato il
periodo di conservazione dei dati personali, questa è una novità prevista dal regolamento Ue, e in questo
caso il periodo di conservazione deve essere commisurato al raggiungimento delle finalità oppure devono
essere indicati i criteri per determinare il periodo di conservazione.

In conclusione, uno dei tanti principi generali di cui possiamo parlare è quello della minimizzazione. Per
trattare i dati correttamente, i dati personali devono essere adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali sono stati trattati. Ciò vuol dire che se io devo svolgere una
consulenza nutrizionale devo chiedere esattamente i dati strettamente necessari a svolgere questa finalità,
non posso chiedere dati ulteriori, tipo dati relativi a hobby, dati relativi ad assicurazione.Ooppure, se li
ritengo necessari, devo spiegare perché sono necessari. Quindi, adeguati e pertinenti, devo essere in grado
di stabilire questa pertinenza.

In questo periodo post-epidemia è stato chiesto di raccogliere delle autocertificazioni ai soggetti che
entrano negli studi professionali, nelle quali i soggetti devono certificare/autodichiarare di non essere stati
in contatto, nei 14 giorni precedenti, con soggetti risultati positivi al COVID-19, di non provenire da aree a
rischio secondo quello che è stabilito dall’organizzazione mondiale della sanità. Applicando il principio di
minimizzazione una autodichiarazione corretta non deve chiedere chi sono i familiari, dove si è stati, ma
soltanto i dati strettamente necessari, quindi adeguati e pertinenti alle finalità che, in questo caso, è una
finalità di prevenzione del contagio da COVID-19. Quindi i dati strettamente necessari sono quelli relativi ad
eventuale patologia respiratoria pregressa, se ha avuto la febbre nei 14 giorni precedenti, o se sono stato in
contatto con soggetti risultati positivi al COVID-19, oppure se provengono da zone a rischio. Se è necessario
un contatto va bene chiedere la e-mail, ma i dati devono essere strettamente necessari alle finalità per le
quali vi chiedo questi.