Privacy


INFORMAZIONI SUL TEMA “TUTELA DELLA PRIVACY IN CAMPO SANITARIO”

 

 

Documento Programmatico sulla Sicurezza

27/12/2005

Il decreto MILLEPROROGHE, approvato dal consiglio dei Ministri il 22 Dicembre 2006, ha previsto un rinvio al 31 marzo 2006 della scadenza relativa alla stesura del DPS.

L’obbligo di redigere il DPS da parte di tutti coloro che trattano dati sensibili è sancito dal D. Lgs. 30.06.2003 n. 196. Questa Legge è entrata in vigore in data 01.01.2004 e contiene importanti novità sia come disciplina sia come adempimenti in tema di tutela della privacy.

Importante sottolineare che in questi giorni NON E’ STATO PROROGATO IL D.Lgs 196/2003 (la legge sulla Privacy), ma solamente differita la scadenza del DPS che avremmo dovuto preparare per la fine dell’anno e rifare entro il 31/03/2006; in questo modo si è portato il DPS alla scadenza naturale. NON SONO STATE PROROGATE LE MISURE MINIME DI SICUREZZA (antivirus, backup firewall, nomine degli incaricati, etc.) come NON SONO STATI PROROGATI gli altri adempimenti quali, le informative, l’eventuali richieste di consenso, la notificazione etc.

Ricordiamo a tutti che il DPS è solamente un punto (il punto 19) dell’Allegato B (di 29 punti) di una legge di 186 Articoli e che è l’unico adempimento differito. La Legge n. 196 del 2003 la puoi trovare nella sezione “Legge sulla Privacy”.

Consigli per redigere il documento programmatico:

1)      indicare con precisione i compiti, nell’ambito dell’ambulatorio medico, di voi Responsabili dello studio  e dei vostri incaricati (segreteria ed eventuali medici sostituti);

2)      non è possibile effettuare il salvataggio dei dati su strumenti tipo pen drive, ma esclusivamente su cd riscrivibili. Il salvataggio deve essere eseguito una volta alla settimana obbligatoriamente con le seguenti modalità: con il masterizzatore si esegue la copia dei dati dal disco fisso; dopo la verifica dell’avvenuta procedura di salvataggio il CD opportunamente etichettato viene rimosso e custodito nel luogo prescelto; la settimana successiva si dovrà introdurre un secondo CD per la registrazione che si alternerà con l’altro per l’attuazione del salvataggio programmato; deve essere prevista una verifica mensile della suddetta procedura da parte di voi Responsabili del trattamento dei dati; inoltre, semestralmente i due CD devono essere rinnovati e la sostituzione dei CD avverrà uno alla volta;

3)      evidenziare all’interno del DPS la formazione degli incaricati al trattamento in maniera chiara e dettagliata;

4)      il DPS va rinnovato ogni 31 marzo di ciascun anno e va dichiarata la data esatta di adozione del DPS, che deve essere siglato e timbrato in ogni sua pagina;

5)      bisogna indicare se i PC presenti nello studio hanno accesso ad internet e se risultano adeguatamente protetti.

 

Abbiamo provato a redigere un modello di Documento Programmatico utilizzabile per un ambulatorio medico. Per chi volesse utilizzarlo o prenderne spunto per la realizzazione del proprio DPS, può  scaricarlo da qui. Questo documento va adattato alla propria tipologia di studio. Il file compresso contiene oltre al DPS vero e proprio (sostituire ai tratteggi e alle parole in corsivo i propri dati), degli allegati al Dps che vanno compilati e firmati dal titolare del trattamento dei dati (il medico titolare dello studio), firmati anche dall’incaricato al trattamento dei dati (segretaria o infermiera) ed eventualmente dal medico sostituto o associato. E’ presente anche il modello per la richiesta del consenso al trattamento dei dati, che va firmato da ciascun paziente (c’è anche un modello adatto per i pazienti di minore età). Sono stati inseriti anche degli articoli della Legge sulla Privacy a cui si fa riferimento nel DPS e che devono essere allegati al DPS stesso. Leggere con attenzione il documento prima dell’utilizzo.

 

 

"ATTO A DATA CERTA" E "DPS" A CONFRONTO (Pubblicato su: www.AmbienteDiritto.it il 10/1/2006).

 

La possibilità di avvalersi di questa ulteriore proroga, per l'implementazione delle misure minime, ha creato però notevoli problemi interpretativi da parte dei titolari, sia relativamente ai termini da rispettare che ai documenti da rediger. L'errore più comunemente riscontrato finora, infatti, è quello di confondere il DPS con l'"atto a data certa".

 

Come specificato dal Garante in un parere del 5 dicembre 2000: "il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art 6 del d P.R. n. 318/1999".

 

La redazione del DPS è un obbligo legislativo, la cui violazione costituisce reato, punibile con l'arresto sino a de anni o l'ammenda da 10 mila euro a 50 mila euro, come previsto dall'articolo 169 del Codice Privacy.

 

La redazione dell'atto a data certa, invece, è facoltativo e non è direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, solo ai titolari del trattamento che intendano beneficiare di un differimento del termine per adottare le misure minime di sicurezza.

 

Dal punto di vista normativo i due documenti sono differenti ed hanno origine da fonti normative diverse:

 

- "L'atto a data certa" è previsto dall'articolo 1 della Legge 3 novembre 200, n. 325 e dall'articolo 180 comma 2 e 3 del Decreto Legislativo 30 giugno 2003, n. 196.

 

- Il DPS è previsto dall'articolo 6 del Decreto del Presidente della Repubblica 28 luglio 1999, n. 318; dall'articolo 34, comma 1 punto g) del Decreto Legislativo 30 giugno 2003, n. 196; dalla regola 19 dell'Allegato B) - Decreto Legislativo 30 giugno 2003, n. 196.

 

I due documenti hanno inoltre, anche finalità e modalità di redazione completamente differenti:

 

- Il DPS serve per definire le misure minime che il titolare intende adottare per il trattamento dei dati personali con strumenti elettronici. Esso va aggiornato entro il 31 Marzo di ogni anno.

 

- "L'Atto a data certa" serve invece, per avere ulteriori tre mesi di tempo per implementare quanto previsto dal DPS o stabilito in sede di definizione delle misure minime da adottare. esso va redatto una sola volta ed esclusivamente secondo i termini e le modalità previste dall'articolo 180 del Codice Privacy.

 

Come si evince da quanto finora descritto, il problema della data certa nasce da un'errata interpretazione dei testi legislativi.

 

Infatti non risulta da alcuna fonte normativa che il Documento Programmatico sulla Sicurezza debba avere data certa, mentre è in più parti previsto che l'atto necessario a comprovare il differimento per problemi tecnici, necessiti di  data certa.

 

Il problema della data certa risulta perciò facilmente risolvibile, attribuendo questo obbligo esclusivamente al documento che il titolare deve redigere per avvalersi del periodo trimestrale di differimento per l'implementazione delle misure minime di sicurezza adottate

 

A supporto di questa tesi sono rinvenibili, tra le varie fonti normative, le seguenti argomentazioni:

 

- Gli articoli 33, 34, 35 e la regola 19 dell'allegato B) del D.lgs. 196/03 non fanno menzione alcuna della necessità di una data certa per il DPS; ma impongono al titolare solo l'obbligo di redigerlo e tenerlo aggiornato.

 

- L'articolo 180 del D.lgs. 196/03 non cita tra i documenti che devono avere data certa il DPS.

 

- L'articolo 157 del Codice Privacy prevede in sede di accertamento ispettivo che il titolare debba semplicemente esibire i documenti richiesti.

 

- Il DPS è un documento che il titolare è obbligato a redigere ed aggiornare a dimostrazione delle misure minime adottate per il trattamento dei dati personali; il DOS, pertanto sarà semplicemente soggetto a quanto previsto dall'articolo 2702 del Codice Civile, in materia di efficacia della scrittura privata.

 

- La regola 26 dell'allegato B) del Codice Privacy prevede che il titolare ha l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato, Pertanto già di per sè questo obbligo può dare una connotazione di data certa al fatto che il DPS sia stato redatto od aggiornato; questo riferimento può perciò, essere sicuramente utilizzato in contenzioso per dimostrare di aver correttamente ottemperato alla norma.

 

 

 

Documento Programmatico della Sicurezza

In tale documento devono essere indicate le misure minime adottate per assicurare un livello minimo di protezione dei dati, come previsto dal Disciplinare Tecnico allegato alla legge. Il documento deve essere conservato agli atti del professionista e non deve essere inviato ad alcuna Autorità. L'Autorità Garante per la Privacy ha già da tempo diffuso una "Guida" per la compilazione del Documento Programmatico per la Sicurezza.

Tenendo presente le istruzioni contenute nella Guida predisposta dal Garante, ogni medico e odontoiatra può redigere manualmente il DPS, oppure avvelersi di appositi software prodotti dalle aziende di informatica. In alternativa, piuttosto che redigere personalmente il DPS, è possibile richiedere la consulenza di esperti o aziende per la redazione del Documento stesso.

La Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) ha predisposto un fac-simile del Documento Programmatico della Sicurezza, unitamente agli schemi delle lettere di incarico e agli articoli del Codice pertinenti.

Tutto ciò è contenuto nella Comunicazione n.87/2005 diramata a tutti gli Ordini provinciali.

 

 

 

Albi dei medici chirurghi

Sono pubblici i nomi dei medici chirurghi iscritti negli albi, ma spetta a ciascun Ordine provinciale stabilire le modalità di comunicazione a chi ne fa richiesta.

E’ quanto ha ribadito il Garante nella risposta ad un quesito rivolto da un cittadino. Sulla questione l’Autorità era già intervenuta chiarendo che la legge sulla privacy non ha modificato la disciplina legislativa relativa al regime di pubblicità degli albi e non pone, dunque, alcun ostacolo alla diffusione dei dati personali contenuti negli albi, purché limitata alle informazioni che devono esservi inserite per legge.

L’Autorità ha ricordato che le norme vigenti prevedono che l’albo di ciascun Ordine dei medici chirurghi sia stampato e pubblicato entro il mese di febbraio di ogni anno, con contestuale trasmissione di una copia ad alcune amministrazioni pubbliche anche allo scopo di una sua affissione nelle prefetture. Tali norme collocano questi albi tra i documenti pubblici conoscibili da chiunque, consentendo agli Ordini di comunicare e diffondere a privati ed enti pubblici economici i dati personali contenuti negli albi.

Tali disposizioni, tuttavia, non disciplinano né le forme di consultazione dell’albo né l’invio di copia ad altri soggetti pubblici o privati. Spetta a ciascun Ordine valutare l’eventuale praticabilità di alcune specifiche modalità di comunicazione dei dati, diverse dalla messa a disposizione dell’albo per la sua consultazione, che sempre più vengono sollecitate nella prassi quotidiana. In alcuni casi viene, ad esempio, richiesta la trasposizione su supporto informatico, oppure la selezione di taluni professionisti in base alla specializzazione riportata nell’albo ecc.. Si tratta di situazioni che, anche su iniziativa degli Ordini interessati, potrebbero essere oggetto di un opportuno aggiornamento normativo che dovrebbe, peraltro, operare una eventuale distinzione tra i casi in cui viene richiesto all’Ordine di fornire un ausilio per la ricerca dei nominativi (ad esempio, soggetti specializzati in un determinata disciplina) da quelli per i quali si chiede una più articolata attività di suddivisione e classificazione di categorie di specialisti, che comporta un "facere" attualmente non previsto dalla normativa.

fonte: Garante per la protezione dei dati personali

 

 

D.Lgs 196/03 semplificazioni per medici di base e pediatri:

nessuna notifica al Garante

Non vi è alcun obbligo per i Medici di base e pediatri di effettuare Notifica al Garante per i trattamenti di dati sensibili operati nell'ambito della propria attività.

 

Legge 26 maggio 2004, n. 138

"Conversione in legge, con modificazioni, del decreto-legge 29 marzo 2004, n. 81, recante interventi urgenti per fronteggiare situazioni di pericolo per la salute pubblica" pubblicata nella Gazzetta Ufficiale n. 125 del 29 maggio 2004

 ...

Art. 2-quinquies.

1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) all'articolo 37, dopo il comma 1, è inserito il seguente:

«1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione e' tipica del loro rapporto professionale con il Servizio sanitario nazionale»;

...

 fonte: Gazzetta Ufficiale

 

 

D.Lgs 196/03 semplificazioni per medici di base e pediatri: ulteriori semplificazioni

·         I medici di base e pediatri non hanno l'obbligo di installare nelle proprie sale d'attesa strumenti o prodecure di chiamata anonima dei pazienti. Potranno continuare ad usare sistemi di chiamata nominale.

·         Il nominativo dell'assistito potrà continuare ad essere scritto sulle ricette a meno di esplicita richiesta in senso contrario da parte dello stesso.

·         È stato abrogato il termine del 20 settembre 2004 per l'acquisizione del consenso per i trattamenti già in essere.

 

 Legge 26 maggio 2004, n. 138

"Conversione in legge, con modificazioni, del decreto-legge 29 marzo 2004, n. 81, recante interventi urgenti per fronteggiare situazioni di pericolo per la salute pubblica" pubblicata nella Gazzetta Ufficiale n. 125 del 29 maggio 2004

 ...

b) all'articolo 83, dopo il comma 2, è aggiunto il seguente:

«2-bis. Le misure di cui al comma 2 non si applicano ai soggetti di cui all'articolo 78, che ottemperano alle disposizioni di cui al comma 1 secondo modalità adeguate a garantire un rapporto personale e fiduciario con gli assistiti, nel rispetto del codice di deontologia sottoscritto ai sensi dell'articolo 12»;

c) all'articolo 89, dopo il comma 2, è aggiunto il seguente:

«2-bis. Per i soggetti di cui all'articolo 78, l'attuazione delle disposizioni di cui all'articolo 87, comma 3, e 88, comma 1, è subordinata ad un'esplicita richiesta dell'interessato»;

d) all'articolo 181, la lettera e) del comma 1 è abrogata...

fonte: Gazzetta Ufficiale