Questa sezione contiene i principali adempimenti, indicazioni e novità in materia di privacy con particolare riferimento all'attività medica e odontoiatrica.
Per quanto non presente si rimanda al sito del Garante della Privacy dove è disponibile una guida applicativa del nuovo Codice Europeo.
Dati personali: qualunque informazione relativa persona fisica, giuridica, ente o associazione e identificati anche indirettamente mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale;
Dati identificativi: i dati personali che permettano l'identificazione diretta dell'interessato.
Dati sensibili: i dati personali idonei a rilevare l'origine razziale, etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale;
Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione……… omissis ... cui competono, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
L'allegato B "disciplinare tecnico in materia di misure minime di sicurezza" definisce le misure minime di sicurezza da rispettare ( articolo da 33 fino a 36 ).
Trattamento con ausilio di strumenti elettronici
Il trattamento dei dati con strumenti elettronici è consentito oltre che al titolare anche ad altri incaricati (personale di segreteria) dotati di credenziali di autenticazione. Le credenziali di autenticazione consistono in un codice per l'identificazione associato a una parola chiave riservata composta da almeno otto caratteri. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate.
Con cadenza almeno annuale va aggiornata la lista degli incaricati ai quali è consentito il trattamento dei dati. I dati personali sono protetti contro il rischio di intrusione mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. I dati vanno salvati con una frequenza almeno settimanale.
Trattamento senza l'ausilio di strumenti elettronici
Il titolare o l'incaricato sono tenuti al controllo ed alla custodia degli atti e dei documenti contenenti dati personali fino alla loro restituzione in maniera che ad essi non accedano persone prive di autorizzazioni. Anche qui, con cadenza almeno annuale va aggiornata la lista degli incaricati ai quali è consentito il trattamento dei dati (personale di segreteria e i sostituti).
Ulteriori misure in caso di trattamento dei dati sensibili
- i dati sensibili o giudiziari sono protetti contro l'accesso abusivo di cui all'articolo 615 - ter del codice penale mediante l'utilizzo di idonei strumenti elettronici (è sufficiente la password della Scheda Sanitaria Individuale).
- Sono impartite istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati salvati.
- I supporti rimovibili contenenti dati sensibili se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati se le informazioni precedentemente in esse contenuti non sono intelligibili e tecnicamente in alcun modo ricostruibili.
- Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici entro sette giorni.
Abolito il DPS (documento programmatico sulla sicurezza)
L'obbligo di redazione/aggiornamento entro il 31 marzo di ogni anno del Programmatico per la Sicurezza (DPS), è stato abolito dalla Legge n. 35 del 4 aprile 2012 (art. 45, comma 1, lettera c); viene meno anche l’obbligo della dichiarazione nella relazione accompagnatoria del bilancio d’esercizio sulla avvenuta redazione o aggiornamento del suddetto documento.
Rimangono invece ferme le esigenze di sicurezza inerenti il trattamento dei dati personali e gli obblighi di informativa e di nomina degli incaricati e dei responsabili.
Si ricorda inoltre che, sulla base della normativa:
- i medici di medicina generale e pediatri di libera scelta esonerati dall'obbligo di notifica;
- viene mantenuta la possibilità di chiamare i pazienti "nominalmente";
- la ricetta non è più criptata salvo esplicita richiesta dell'interessato;
- il termine del 30 settembre per la raccolta del consenso informato è abrogato.
PRIVACY. Accordo tra Azienda USL di Modena e Ordine: adempimenti per MEDICI DI FAMIGLIA E PEDIATRI DI LIBERA SCELTA
L'accordo prevede che chi si recherà dal medico di famiglia o dal pediatra di libera scelta si vedrà sottoporre un modulo da compilare e firmare per dare il proprio consenso al trattamento dei dati. In realtà le firme sono due: una per il consenso dato al proprio medico o pediatra di fiducia e una per il consenso dato all'Azienda USL.
Nell'ambulatorio del proprio medico o pediatra di fiducia sarà affissa una locandina (informativa ai sensi del D.lgs 196/03) che illustra sinteticamente le finalità e le modalità con cui vengono trattate, cioè utilizzate, le informazioni personali e sanitarie relative agli assistiti.