La compilazione del registro delle attività di trattamento previsto dalla nLPD, che sostituisce il precedente registro delle collezioni di dati, non spetta a tutte le aziende: la legge prevede che devono tenere tale registro le aziende con più di 250 collaboratori, indipendentemente dal grado di occupazione di ognuno di essi. In Svizzera, nel settore sanitario sono interessati solo gli ospedali. Tuttavia, il legislatore sostiene che devono compilare il registro dei trattamenti anche le aziende con meno di 250 collaboratori che elaborano grandi volumi di dati personali degni di particolare protezione o che svolgono un profiling a rischio elevato.

L’avvocato Roman Böhni afferma al riguardo: «Di norma, gli studi medici svizzeri sono soggetti a quest’obbligo, perché il trattamento di dati personali degni di particolare protezione costituisce un’attività chiave di questi istituti. Pertanto, ogni studio medico dovrebbe compilare un registro dei trattamenti, come suggerito anche dalla Federazione dei medici svizzeri. Il registro costituisce il fondamento del diritto alla protezione dei dati di un’azienda. Il suo allestimento richiede un certo onere iniziale, ma rappresenta poi un’importante fonte di dati, ad esempio per rispondere alle richieste di informazioni.»

Il registro dei trattamenti ha origine dal diritto europeo e rappresenta una novità in Svizzera. L’obiettivo del legislatore è incrementare la trasparenza del trattamento dei dati all’interno delle aziende: i processi di elaborazione dei dati devono essere cioè identificati, documentati e resi trasparenti. Inoltre, in caso di esame da parte delle autorità, il registro funge da prova del rispetto dei principi in materia di protezione dei dati. Allo stesso tempo chiarisce internamente chi processa quali dati, dove e come e a chi giungono le informazioni.

Che cosa va indicato in questo registro delle attività di trattamento?

Innanzitutto devono essere identificate tutte le attività di trattamento svolte nell’azienda nelle quali vengono elaborati i dati personali. In una seconda fase, per ogni attività di trattamento identificata si devono registrare i requisiti minimi richiesti dal legislatore nell’art. 12 nLPD. A tal fine, la Federazione dei medici svizzeri mette a disposizione un modello e una guida che fungono da ausilio per gli studi medici per l’espletamento dei loro obblighi legali.

Ogni studio medico ha ampio margine di manovra nel decidere quanto dettagliata debba essere la registrazione delle singole attività di elaborazione nel registro. Roman Böhni afferma: «Gli studi medici più piccoli devono indicare almeno quelle attività di elaborazione nelle quali vengono trattati dati personali degni di particolare protezione.» Anche la scelta dello strumento di documentazione è a discrezione dell’azienda, sono infatti ammessi sia Word sia Excel. Esistono strumenti professionali che le aziende possono acquistare, ma di norma gli studi medici non ne hanno bisogno.

Il registro dei trattamenti è un documento interno al quale può accedere anche il personale. In ogni caso deve essere ben chiaro chi ha facoltà di elaborarlo. «Altrimenti si crea subito il caos», avverte Roman Böhni.

Chi deve gestire internamente il registro?

È sicuramente opportuno che a gestire il registro dei trattamenti sia una persona che ha una buona panoramica dell’intera azienda e dei suoi processi. La responsabilità finale spetta alla direzione, rappresentata di norma in un piccolo studio medico dalla dottoressa o dal dottore. Roman Böhni afferma al riguardo: «Naturalmente non è necessario essere un giurista per gestire questo registro, tuttavia bisogna conoscere approfonditamente la materia. Può essere quindi opportuno seguire un corso di perfezionamento oppure, all’inizio, rivolgersi a un aiuto esterno.»

La documentazione menzionata dalla Federazione dei medici svizzeri sul registro delle attività di trattamento è reperibile sul sito web della Federazione:

https://www.fmh.ch/files/pdf29/modello-di-registro-delle-attivita-di-trattamento-dei-dati-e-relativa-guida.pdf