MD 02

M.D. numero 2-3, 1 febbraio 2006

Legislazione
Privacy: più tempo per tutelare la riservatezza dei pazienti
di Monica Di Sisto

Slitta a fine marzo l’obbligo per tutti i soggetti della pubblica amministrazione, medici compresi, di dotarsi di regolamenti, predisposti anche secondo schemi-tipo autorizzati dal Garante, contenenti le regole per il trattamento dei dati sensibili
Il Consiglio dei Ministri (n. 37 del 22 dicembre 2005) ha stabilito di prorogare la compilazione del Documento Programmatico di Sicurezza dal 31 dicembre 2005 al 31 marzo 2006. Nello specifico il decreto cosiddetto “Milleproroghe”, approvato dal Consiglio dei Ministri ha ridisegnato il calendario degli adempimenti previsti dagli articoli 180 e 181 del Codice della Privacy. E questo nonostante la scorsa primavera Francesco Pizzetti, presidente del Garante della privacy, abbia strigliato le amministrazioni, richiamandole all’ordine, e abbia invitato il legislatore a non concedere più differimenti.
L’articolo 180 distingue tra misure minime di sicurezza vecchie (quelle previste dal DPR n. 318/1999) e nuove (quelle previste “ex novo” dall’allegato B al Codice). Pertanto, stando all’interpretazione letterale del decreto, solo le “nuove” misure minime di sicurezza usufruiscono della proroga.
Poiché l’Autorità Garante della Privacy, con motivato parere del 22 marzo 2004, ha espressamente interpretato come misura “nuova” la redazione del Documento Programmatico sulla Sicurezza (DPS), di conseguenza la sua compilazione è prorogata al 31 marzo 2006, mentre l’adeguamento degli strumenti elettronici, che non consentono, in tutto od in parte, l’applicazione delle misure minime di sicurezza è differita al 30 giugno 2006.
Che cos’è il DPS? È l’unico documento in grado di attestare l’adeguamento della struttura alla normativa sulla tutela dei dati personali. Scopo del DPS è descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) e il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa sulla privacy.
Il DPS deve obbligatoriamente contenere:
n i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
n i criteri e le procedure per assicurare l’integrità dei dati;
n i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
n l’elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.
Il DPS deve, infine, riportare una data certa; ciò si ottiene facendo apporre un timbro postale sul modulo allegato alla presente nota nell’apposito spazio o spedendo il DPS al proprio indirizzo con raccomandata A.R.

Le regole per i medici

“Rispetto alle proroghe accordate in passato - ha sottolineato Giovanni Buttarelli, segretario generale del Garante - queste ultime due sono differenti. Si tratta di un tempo minimo necessario per mettersi in regola. E la pubblica amministrazione ha già fatto molti passi in avanti. Per quanto riguarda il DPS, poi, la proroga ha razionalizzato le scadenze: si sarebbe, infatti, dovuto preparare un documento entro la fine dell’anno, per poi rifarlo entro il 31 marzo”.
I medici, però, non potranno attendere l’ultimo minuto per raggiungere un livello minimo di garanzia della privacy dei propri pazienti nei documenti e nelle informazioni a formato elettronico. Le misure minime “vecchie”, quelle previste cioè dal DPR n. 318/1999, al momento della redazione del DPS dovranno già essere in atto.
Queste sono costituite dall’insieme degli accorgimenti tecnici e governativi che il titolare (in questo caso il medico) di un trattamento di dati personali deve adottare per assicurare il livello minimo di sicurezza dei dati personali. Tra esse si considerano:
n l’obbligo di adottare un sistema di autenticazione informatica (credenziali di autenticazione e password, strumenti normalmente utilizzati per accedere ad un Pc) ed un sistema di autorizzazioni;
n la necessità di proteggere i dati personali contro il rischio di intrusione (installazione di firewall) e di azioni di programmi dannosi quali per esempio, virus informatici (installazione di antivirus, nonché l’obbligo di aggiornamento periodico di tali strumenti di protezione);
n l’obbligo di prevedere aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici;
n la necessità di adozione di procedure per la custodia di copie di sicurezza dei dati e per il ripristino della disponibilità degli stessi e dei sistemi (piano di disaster recovery);
n l’obbligo di tenuta di un aggiornato documento programmatico sulla sicurezza;
n la necessità di adottare tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rilevare lo stato di salute effettuati da organismi sanitari.