Document Actions
D.Lgs 30/06/2003 n. 196 Codice in materia di protezione dei dati personali
Scadenza documento programmatico per la sicurezza e adempimenti: 31 dicembre 2005
I medici e gli odontoiatri liberi professionisti e/o convenzionati con il SSN, Titolari di Studio o ambulatorio o studio associato, dovranno predisporre, entro il 31 dicembre 2005, il documento programmatico sulle misure di sicurezza per il trattamento dei dati personali e sensibili con/senza l'ausilio di strumenti elettronici di cui articoli rispettivamente 34 e 35 del D. Lgs. 196/03 (Allegati 1 e 2).
Il documento programmatico dovrà essere custodito dal Titolaredello studio o nel caso di studio associato dal Responsabile e non deve essere inviato ad alcuna autorità, ma va esibito in caso di specifica richiesta da parte del Garante.
Nel documento programmatico riportato di seguito, nello spazio riservato al Titolare deve essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, qualora si tratti di studio associato o di ambulatorio.
Al Titolare competono le decisioni relative alle finalità e modalità del trattamento dei dati, la nomina del Responsabile e dell’Incaricato.
Nello spazio riservato al Responsabile dovrà essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, soltanto se sia stato nominato e la data della lettera di incarico (all.to 3 - lettera di nomina).
Nell’ipotesi in cui non venga nominato il Responsabile, il Titolare ne assume le funzioni.
Il Responsabile può essere interno alla struttura (studio, ambulatorio o studio associato) ovvero esterno, come nel caso dello studio commercialista o del professionista commercialista che tratta, per conto del Titolare, i dati personali dei pazienti e dei dipendenti dello studio o ambulatorio o studio associato, a causa della tenuta della contabilità.
Nella casella relativa all’Incaricato, se nominato, deve essere indicato il nominativo della persona fisica (non è ammessa la nomina di persona giuridica) e la data della lettera di nomina (all.to 4 – lettera di incarico) e l’autorizzazione a compiere le operazioni di trattamento dei dati personali e l’avvenuta formazione e la consegna del D.Lgs 196/03 evidenziando le principali nozioni di competenza (all.to 5 - vademecum).
L’incaricato può essere nominato dal Titolare o dal Responsabile ed è sotto la diretta responsabilità e controllo di chi li ha nominati, e’ consigliabile che le persone che, comunque, frequentano lo studio o l’ambulatorio siano nominati Incaricati qualora non rivestano la figura di Responsabile. Nel documento programmatico deve essere esplicitato che sono trattati dati personali e sensibili relativi a:– cartella clinica paziente; – dati anagrafici paziente; – dati anagrafici dipendenti; – dati fornitori. In fase di ricognizione devono essere accertate le seguenti operazioni: – raccolta; – registrazione; – aggiornamento; – conservazione; – modificazione; – comunicazione; – cancellazione; Il documento deve contenere le misure di protezione adottate per evitare rischi di distruzione, danneggiamento o perdita dei dati, accesso non autorizzato al trattamento non consentito o non conforme alle finalità della raccolta: – parola chiave per accesso elaboratore; – eventuali più parole chiave se diversi incaricati; – periodica modifica parola chiave; – predisposizione copia su supporto magnetico; – adozione misure idonee per il ripristino dell’accesso ai dati. L’analisi dei rischi è personalizzata e soprattutto in dipendenza dei locali ove è allocato il PC. Se il PC è ubicato al piano terra è indispensabile che le finestre vengano munite di grate o, comunque, di misure tali da non consentire l’accesso in assenza del Titolare e/o dell’incaricato. La porta di ingresso deve essere chiusa a chiave e il PC deve essere protetto da una parola chiave che non coincide con la data di rilascio o altra chiave alfanumerica facilmente individuabile. Nel PC devono essere riportati: – cartella clinica se esistente o scheda personale del paziente; – dati anagrafici dei collaboratori; – dati anagrafici dei fornitori. Deve essere operato uno sbarramento attraverso password per cui la cartella clinica può essere consultata soltanto dal Titolare dello studio mentre i dati anagrafici del personale, dei pazienti e dei fornitori possono essere consultati dal Responsabile se nominato. La password dell’Incaricato e/o del Responsabile non deve essere portata a conoscenza del Titolare. Peraltro è necessario che la password venga conservata in busta chiusa, in una cassetta di sicurezza o in un armadio chiuso a chiave. In caso di necessità o di assenza dell’Incaricato o del Responsabile, il Titolare può aprire la busta per conoscere la parola chiave e, quindi, procedere al trattamento dei dati personali. L’incaricato allorché rientra in servizio procederà a individuare una nuova parola chiave che conserverà con le modalità di cui innanzi. Le stesse modalità valgono per la compilazione del documento programmatico senza l’ausilio di strumenti elettronici ex art. 35, vale a dire documentazione cartacea. Nel caso di documentazione cartacea la cartella clinica dei pazienti, i dati anagrafici DEI PAZIENTI, I DATI anagrafici dei dipendenti E i dati ANAGRAFICI dei fornitori vanno conservati in un armadio chiuso a chiave sotto la responsabilità del Titolare. La porta del locale ove è sito l’armadio deve essere chiusa a chiave.
ALLEGATI:
1
1bis
2
3a
3b
3c
4a
4b
5
Il documento programmatico dovrà essere custodito dal Titolaredello studio o nel caso di studio associato dal Responsabile e non deve essere inviato ad alcuna autorità, ma va esibito in caso di specifica richiesta da parte del Garante.
Nel documento programmatico riportato di seguito, nello spazio riservato al Titolare deve essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, qualora si tratti di studio associato o di ambulatorio.
Al Titolare competono le decisioni relative alle finalità e modalità del trattamento dei dati, la nomina del Responsabile e dell’Incaricato.
Nello spazio riservato al Responsabile dovrà essere riportato il nominativo della persona fisica o la ragione sociale della persona giuridica, soltanto se sia stato nominato e la data della lettera di incarico (all.to 3 - lettera di nomina).
Nell’ipotesi in cui non venga nominato il Responsabile, il Titolare ne assume le funzioni.
Il Responsabile può essere interno alla struttura (studio, ambulatorio o studio associato) ovvero esterno, come nel caso dello studio commercialista o del professionista commercialista che tratta, per conto del Titolare, i dati personali dei pazienti e dei dipendenti dello studio o ambulatorio o studio associato, a causa della tenuta della contabilità.
Nella casella relativa all’Incaricato, se nominato, deve essere indicato il nominativo della persona fisica (non è ammessa la nomina di persona giuridica) e la data della lettera di nomina (all.to 4 – lettera di incarico) e l’autorizzazione a compiere le operazioni di trattamento dei dati personali e l’avvenuta formazione e la consegna del D.Lgs 196/03 evidenziando le principali nozioni di competenza (all.to 5 - vademecum).
L’incaricato può essere nominato dal Titolare o dal Responsabile ed è sotto la diretta responsabilità e controllo di chi li ha nominati, e’ consigliabile che le persone che, comunque, frequentano lo studio o l’ambulatorio siano nominati Incaricati qualora non rivestano la figura di Responsabile. Nel documento programmatico deve essere esplicitato che sono trattati dati personali e sensibili relativi a:– cartella clinica paziente; – dati anagrafici paziente; – dati anagrafici dipendenti; – dati fornitori. In fase di ricognizione devono essere accertate le seguenti operazioni: – raccolta; – registrazione; – aggiornamento; – conservazione; – modificazione; – comunicazione; – cancellazione; Il documento deve contenere le misure di protezione adottate per evitare rischi di distruzione, danneggiamento o perdita dei dati, accesso non autorizzato al trattamento non consentito o non conforme alle finalità della raccolta: – parola chiave per accesso elaboratore; – eventuali più parole chiave se diversi incaricati; – periodica modifica parola chiave; – predisposizione copia su supporto magnetico; – adozione misure idonee per il ripristino dell’accesso ai dati. L’analisi dei rischi è personalizzata e soprattutto in dipendenza dei locali ove è allocato il PC. Se il PC è ubicato al piano terra è indispensabile che le finestre vengano munite di grate o, comunque, di misure tali da non consentire l’accesso in assenza del Titolare e/o dell’incaricato. La porta di ingresso deve essere chiusa a chiave e il PC deve essere protetto da una parola chiave che non coincide con la data di rilascio o altra chiave alfanumerica facilmente individuabile. Nel PC devono essere riportati: – cartella clinica se esistente o scheda personale del paziente; – dati anagrafici dei collaboratori; – dati anagrafici dei fornitori. Deve essere operato uno sbarramento attraverso password per cui la cartella clinica può essere consultata soltanto dal Titolare dello studio mentre i dati anagrafici del personale, dei pazienti e dei fornitori possono essere consultati dal Responsabile se nominato. La password dell’Incaricato e/o del Responsabile non deve essere portata a conoscenza del Titolare. Peraltro è necessario che la password venga conservata in busta chiusa, in una cassetta di sicurezza o in un armadio chiuso a chiave. In caso di necessità o di assenza dell’Incaricato o del Responsabile, il Titolare può aprire la busta per conoscere la parola chiave e, quindi, procedere al trattamento dei dati personali. L’incaricato allorché rientra in servizio procederà a individuare una nuova parola chiave che conserverà con le modalità di cui innanzi. Le stesse modalità valgono per la compilazione del documento programmatico senza l’ausilio di strumenti elettronici ex art. 35, vale a dire documentazione cartacea. Nel caso di documentazione cartacea la cartella clinica dei pazienti, i dati anagrafici DEI PAZIENTI, I DATI anagrafici dei dipendenti E i dati ANAGRAFICI dei fornitori vanno conservati in un armadio chiuso a chiave sotto la responsabilità del Titolare. La porta del locale ove è sito l’armadio deve essere chiusa a chiave.
ALLEGATI:
1
1bis
2
3a
3b
3c
4a
4b
5
