E' stata rinviata al 31 marzo prossimo la scadenza per predisporre il documento programmatico sulle misure di sicurezza per il trattamento dei dati personali e sensibili con/senza l'ausilio di strumenti elettronici di cui agli articoli rispettivamente 34 e 35 del D.Lgs 196/03.
II documento programmatico dovrà essere custodito dal Titolare dello studio o nel caso di studio associato dal Responsabile e non deve essere inviato ad alcuna autorità, ma va esibito in caso di specifica richiesta da parte del Garante.
Nel seguito della news le informazioni su come riempire il documento e i modelli da scaricare.
Nel documento programmatico, nello spazio riservato al Titolare deve essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, qualora si tratti di studio associato o di ambulatorio. Al Titolare competono le decisioni relative alle finalità e modalità del trattamento dei dati, la nomina del Responsabile e dell'Incaricato.
Nello spazio riservato al Responsabile dovrà essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, soltanto se sia stato nominato e la data della lettera di incarico . Nell'ipotesi in cui non venga nominato il Responsabile il Titolare ne assume le funzioni. Il Responsabile può essere interno alla struttura (studio, ambulatorio o studio associato) ovvero esterno, come nel caso dello studio commercialista o del professionista commercialista che tratta, per conto del Titolare, i dati personali dei pazienti e dei dipendenti dello studio o ambulatorio o studio associato, a causa della tenuta della contabilità.
Nella casella relativa all'Incaricato se nominato, deve essere indicato il nominativo della persona fisica (non è ammessa la nomina di persona giuridica) e la data della lettera di nomina, e l'autorizzazione a compiere le operazioni di trattamento dei dati personali e l'avvenuta formazione e la consegna del D.Lgs 196/03 evidenziando le principali nozioni di competenza.
L'Incaricato può essere nominato dal Titolare o dal Responsabile ed è sotto la diretta responsabilità e controllo di chi li ha nominati. E' consigliabile che le persone che, comunque, frequentano lo studio o l'ambulatorio siano nominati Incaricati qualora non rivestano la figura di Responsabile.
Nel documento programmatico deve essere esplicitato che sono trattati dati personali e sensibili relativi a: - cartella clinica paziente; - dati anagrafici paziente; - dati anagrafici dipendenti; - dati fornitori.
In fase di ricognizione devono essere accertate le seguenti operazioni: - raccolta; - registrazione; - aggiornamento; - conservazione; - modificazione; - comunicazione ; - cancellazione.
II documento deve contenere le misure di protezione adottate per evitare rischi di distruzione, danneggiamento o perdita dei dati, accesso non autorizzato al trattamento non consentito o non conforme alle finalità della raccolta: - parola chiave per accesso elaboratore; - eventuali più parole chiave se diversi incaricati; - periodica modifica parola chiave; - predisposizione copia su supporto magnetico; - adozione misure idonee per il ripristino dell'accesso ai dati.
L'analisi dei rischi è personalizzata e soprattutto in dipendenza dei locali ove è allocato il PC. Se il PC è ubicato al piano terra è indispensabile che le finestre vengano munite di grate o, comunque, di misure tali da non consentire l'accesso in assenza del Titolare e/o dell'Incaricato. La porta di ingresso deve essere chiusa a chiave e il PC deve essere protetto da una parola chiave che non coincide con la data di nascita o altra chiave alfanumerica facilmente individuabile.
Nel PC devono essere riportati: cartella clinica se esistente o scheda personale del paziente; dati anagrafici dei collaboratori; dati anagrafici dei fornitori.
Deve essere operato uno sbarramento attraverso password per cui la cartella clinica può essere consultata soltanto dal Titolare dello studio mentre i dati anagrafici del personale, dei pazienti e dei fornitori possono essere consultati dal Responsabile se nominato. La password dell'Incaricato e/o del Responsabile non deve essere portata a conoscenza del Titolare. Peraltro è necessario che la password venga conservata in busta chiusa, in una cassetta di sicurezza o in un armadio chiuso a chiave.
In caso di necessità o di assenza dell'Incaricato o dei Responsabile, il Titolare può aprire la busta per conoscere la parola chiave e, quindi, procedere al trattamento dei dati personali.
L'Incaricato allorché rientra in servizio procederà a individuare una nuova parola chiave che conserverà con le modalità di cui innanzi. Le stesse modalità valgono per fa compilazione del documento programmatico senza l'ausilio di strumenti elettronici ex art. 35, vale a dire documentazione cartacea. Nel caso di documentazione cartacea la cartella clinica dei pazienti, i dati anagrafici dei pazienti, i dati anagrafici dei dipendenti e i dati anagrafici dei fornitori vanno conservati in un armadio chiuso a chiave sotto la responsabilità del Titolare. La porta del locale ove è sito l'armadio deve essere chiusa a chiave.
Il testo e gli allegati (compresi i moduli da riempire) sono scaricabili dai siti degli Ordini dei Medici: es
http://www.omceopi.org/inprimopiano.htm#legge_privacy