IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA: MODELLI E INDICAZIONI

Indicazioni, suggerimenti, modelli.
 

Riportiamo le informazioni ed i modelli egregiamente elaborati dall'OMCEO di Crotone.

Evidenziamo come sia ormai fuor di dubbio che non occorre certificare la data di compilazione del proprio DPS, il quale va' pero' compilato e tenuto a disposizione nel proprio studio medico per ogni controllo. Pena la sanzione pecuniaria di 50.000 Euro.

Per quanto riguarda la richiesta di consenso informato al trattamento dei dati personali dei pazienti l'Art. 81 del Decreto 196/2003 rende FACOLTATIVA la firma di un consenso scritto e consente l'alternativa di richiedere un CONSENSO ORALE al paziente, a condizione che di tale consenso sia riportata nota nella cartella del paziente stesso.

Ci preme sottolineare come la compilazione del modello di DPS riportato nel file zippato vada adattata alla propria situazione professionale personale e come l'applicazione delle Misure Minime di Sicurezza sul sistema informatico debba essere realizzata nel rispetto del Decreto 196/2003 . Inoltre qualora, ai sensi dell'art. 25 del Disciplinare Tecnico del suddetto decreto, il Medico decida di avvalersi di personale tecnico esterno per la messa in sicurezza del proprio sistema informatico e' obbligo del suddetto personale tecnico esterno rilasciare una Relazione dettagliata sugli interventi effettuati.

 Il webmaster

Ing. Salvatore Fusto

 

Il decreto MILLEPROROGHE, approvato dal consiglio dei Ministri il 22 Dicembre 2006, ha previsto un rinvio al 31 marzo 2006 della scadenza relativa alla stesura del DPS.

L' obbligo di redigere il DPS da parte di tutti coloro che trattano dati sensibili e' sancito dal D. Lgs. 30.06.2003 n. 196. Questa Legge e' entrata in vigore in data 01.01.2004 e contiene importanti novita' sia come disciplina sia come adempimenti in tema di tutela della privacy.

Importante sottolineare che in questi giorni NON E' STATO PROROGATO IL D.Lgs 196/2003 (la legge sulla Privacy), ma solamente differita la scadenza del DPS che avremmo dovuto preparare per la fine dell' anno e rifare entro il 31/03/2006; in questo modo si e' portato il DPS alla scadenza naturale. NON SONO STATE PROROGATE LE MISURE MINIME DI SICUREZZA (antivirus, backup firewall, nomine degli incaricati, etc.) come NON SONO STATI PROROGATI gli altri adempimenti quali, le informative, le eventuali richieste di consenso, la notificazione etc.

Ricordiamo a tutti che il DPS e' solamente un punto (il punto 19) dell' Allegato B (di 29 punti) di una legge di 186 Articoli e che e' l' unico adempimento differito. La Legge n. 196 del 2003 la puoi trovare nella sezione "Legge sulla Privacy".

Consigli per redigere il documento programmatico:

1)      indicare con precisione i compiti, nell' ambito dell'ambulatorio medico, di voi Responsabili dello studio  e dei vostri incaricati (segreteria ed eventuali medici sostituti);

2)      non e' possibile effettuare il salvataggio dei dati su strumenti tipo pen drive, ma esclusivamente su cd riscrivibili. Il salvataggio deve essere eseguito una volta alla settimana obbligatoriamente con le seguenti modalita': con il masterizzatore si esegue la copia dei dati dal disco fisso; dopo la verifica dell'avvenuta procedura di salvataggio il CD opportunamente etichettato viene rimosso e custodito nel luogo prescelto; la settimana successiva si dovra' introdurre un secondo CD per la registrazione che si alternera' con l'altro per l'attuazione del salvataggio programmato; deve essere prevista una verifica mensile della suddetta procedura da parte di voi Responsabili del trattamento dei dati; inoltre, semestralmente i due CD devono essere rinnovati e la sostituzione dei CD avverra' uno alla volta;

3)      evidenziare all' interno del DPS la formazione degli incaricati al trattamento in maniera chiara e dettagliata;

4)      il DPS va rinnovato ogni 31 marzo di ciascun anno e va dichiarata la data esatta di adozione del DPS, che deve essere siglato e timbrato in ogni sua pagina;

5)      bisogna indicare se i PC presenti nello studio hanno accesso ad internet e se risultano adeguatamente protetti.

 

Abbiamo provato a redigere un modello di Documento Programmatico utilizzabile per un ambulatorio medico. Per chi volesse utilizzarlo o prenderne spunto per la realizzazione del proprio DPS, puo' scaricarlo da qui; per ulteriori informazionio si faccia riferimento qui. Questo documento va adattato alla propria tipologia di studio. Il file compresso contiene oltre al DPS vero e proprio (sostituire ai tratteggi e alle parole in corsivo i propri dati), degli allegati al Dps che vanno compilati e firmati dal titolare del trattamento dei dati (il medico titolare dello studio), firmati anche dall'incaricato al trattamento dei dati (segretaria o infermiera) ed eventualmente dal medico sostituto o associato. E' presente anche il modello per la richiesta del consenso al trattamento dei dati, che va firmato da ciascun paziente (cioe' anche un modello adatto per i pazienti di minore eta'). Sono stati inseriti anche degli articoli della Legge sulla Privacy a cui si fa riferimento nel DPS e che devono essere allegati al DPS stesso. Leggere con attenzione il documento prima dell'utilizzo.

 

 

"ATTO A DATA CERTA" E "DPS" A CONFRONTO (Pubblicato su: www.AmbienteDiritto.it il 10/1/2006).

 

La possibilita' di avvalersi di questa ulteriore proroga, per l'implementazione delle misure minime, ha creato pero' notevoli problemi interpretativi da parte dei titolari, sia relativamente ai termini da rispettare che ai documenti da rediger. L'errore piu' comunemente riscontrato finora, infatti, e' quello di confondere il DPS con l'"atto a data certa".

 

Come specificato dal Garante in un parere del 5 dicembre 2000: "il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art 6 del d P.R. n. 318/1999".

 

La redazione del DPS e' un obbligo legislativo, la cui violazione costituisce reato, punibile con l'arresto sino a de anni o l'ammenda da 10 mila euro a 50 mila euro, come previsto dall'articolo 169 del Codice Privacy.

 

La redazione dell'atto a data certa, invece, e' facoltativo e non e' direttamente rilevante ai fini della responsabilita' civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, solo ai titolari del trattamento che intendano beneficiare di un differimento del termine per adottare le misure minime di sicurezza.

 

Dal punto di vista normativo i due documenti sono differenti ed hanno origine da fonti normative diverse:

 

- "L'atto a data certa" e' previsto dall'articolo 1 della Legge 3 novembre 200, n. 325 e dall'articolo 180 comma 2 e 3 del Decreto Legislativo 30 giugno 2003, n. 196.

 

- Il DPS e' previsto dall'articolo 6 del Decreto del Presidente della Repubblica 28 luglio 1999, n. 318; dall'articolo 34, comma 1 punto g) del Decreto Legislativo 30 giugno 2003, n. 196; dalla regola 19 dell'Allegato B) - Decreto Legislativo 30 giugno 2003, n. 196.

 

I due documenti hanno inoltre, anche finalita' e modalita' di redazione completamente differenti:

 

- Il DPS serve per definire le misure minime che il titolare intende adottare per il trattamento dei dati personali con strumenti elettronici. Esso va aggiornato entro il 31 Marzo di ogni anno.

 

- "L'Atto a data certa" serve invece, per avere ulteriori tre mesi di tempo per implementare quanto previsto dal DPS o stabilito in sede di definizione delle misure minime da adottare. esso va redatto una sola volta ed esclusivamente secondo i termini e le modalita' previste dall'articolo 180 del Codice Privacy.

 

Come si evince da quanto finora descritto, il problema della data certa nasce da un'errata interpretazione dei testi legislativi.

 

Infatti non risulta da alcuna fonte normativa che il Documento Programmatico sulla Sicurezza debba avere data certa, mentre e' in piu' parti previsto che l'atto necessario a comprovare il differimento per problemi tecnici, necessiti di  data certa.

 

Il problema della data certa risulta percio' facilmente risolvibile, attribuendo questo obbligo esclusivamente al documento che il titolare deve redigere per avvalersi del periodo trimestrale di differimento per l'implementazione delle misure minime di sicurezza adottate

 

A supporto di questa tesi sono rinvenibili, tra le varie fonti normative, le seguenti argomentazioni:

 

- Gli articoli 33, 34, 35 e la regola 19 dell'allegato B) del D.lgs. 196/03 non fanno menzione alcuna della necessita' di una data certa per il DPS; ma impongono al titolare solo l'obbligo di redigerlo e tenerlo aggiornato.

 

- L'articolo 180 del D.lgs. 196/03 non cita tra i documenti che devono avere data certa il DPS.

 

- L'articolo 157 del Codice Privacy prevede in sede di accertamento ispettivo che il titolare debba semplicemente esibire i documenti richiesti.

 

- Il DPS e' un documento che il titolare e' obbligato a redigere ed aggiornare a dimostrazione delle misure minime adottate per il trattamento dei dati personali; il DOS, pertanto sara' semplicemente soggetto a quanto previsto dall'articolo 2702 del Codice Civile, in materia di efficacia della scrittura privata.

 

- La regola 26 dell'allegato B) del Codice Privacy prevede che il titolare ha l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato, pertanto gia' di per se questo obbligo puo' dare una connotazione di data certa al fatto che il DPS sia stato redatto od aggiornato; questo riferimento puo' percio', essere sicuramente utilizzato in contenzioso per dimostrare di aver correttamente ottemperato alla norma.

<