Le informazioni contenute in registri pubblici, liberamente consultabili dai professionisti nell’ambito della propria attività, non possono essere così utilizzate per attività promozionali. Il principio di finalità (o di limitazione della finalità) significa per i professionisti e per le aziende che il trattamento dei dati personali deve essere effettuato per una finalità specifica e ben definita e solo per scopi ulteriori, specifici e compatibili con la finalità iniziale.

Il diritto di accesso ai propri dati conservati da aziende e pubbliche amministrazioni costituisce il nucleo essenziale dei diritti riconosciuti dalla normativa europea ai cittadini. Si pensi ad esempio all’accesso ai referti medici, alle cartelle sanitarie oppure ai dati del traffico telefonico.  Ad ogni diritto corrisponde un obbligo. Ed in tali casi il mancato riscontro alla richiesta di accesso può comportare maxi sanzioni per le aziende.

Quando più parti determinano congiuntamente le finalità e i mezzi del trattamento di dati personali necessari alla realizzazione di uno specifico progetto sono considerati “Contitolari” del Trattamento secondo il combinato disposto degli articoli 4, par. 1, nr. 7 e 26, par. 1, del GDPR.  Tale ipotesi può configurarsi ad esempio nella coproduzione di un’opera da parte di Fondazioni Lirico Sinfoniche in cui i Coproduttori hanno tra i propri scopi istituzionali la promozione dell’arte e della cultura teatrale, musicale e dello spettacolo in genere, nonché l’educazione musicale della collettività.

La comunicazione dei dati al RIAP (Registro Italiano ArtroProtesi) è facoltativa da parte del paziente e per questo l’Istituto Superiore di Sanità che lo gestisce chiede correttamente agli interessati il consenso per il trattamento, ma d’altra parte in Sicilia un decreto ha stabilito che in caso di mancato conferimento dei dati le prestazioni sanitarie non vengono remunerate alle strutture sanitarie accreditate. Siamo di fronte a un altro passo falso sul diritto alla protezione dei dati personali da parte della Regione Siciliana dopo il recente avvertimento ricevuto dal Garante lo scorso 22 luglio?

La definizione dei ruoli dei vari soggetti protagonisti di uno specifico trattamento di dati personali avviene, nella maggior parte dei casi, in maniera molto agevole, quasi automatica. In fin dei conti si tratta solo di assegnare uno specifico ruolo a tutte le aziende e le figure protagoniste in scena, che quasi si muovono come dei personaggi in cerca d’autore. Oramai è chiaro che il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; parimenti è ben noto che il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il recente e prezioso parere del Garante privacy (nota prot. 17347 del 12 maggio 2020) sulla qualificazione giuridica ai fini privacy dell’ODV è stato accolto con favore dalla comunità di professionisti in materia di data protection tanto per l’autorevolezza della fonte quanto, in una dimensione prettamente operativa, per una chiara e mai sopita esigenza di certezza del diritto nonché per la lucida analisi giuridica compiuta dall’Autorità di Controllo.