SCHEDA SANITARIA / Normative / Segreto / Tutela della segretezza
Le schede sanitarie debbono essere custodite
in uno schedario dotato di serratura se ai locali accedono persone diverse dal
medico titolare (anche solo l’addetto alle pulizie o i parenti del medico).
La chiave deve essere custodita dal medico.
Qualora il medico si avvalga della collaborazione di personale di segreteria
o di sostituti, questi debbono essere autorizzati per iscritto, specificando
per quali competenze sono autorizzati a consultare le cartelle.
La lettera di autorizzazione deve essere conservata dal medico titolare e dagli
interessati e deve essere disponibile nello studio per eventuali controlli (non
deve essere timbrata alla posta o autenticata dal notaio e neppure spedita al
Garante della privacy).
Su un altro foglio conservato nello studio medico debbono essere elencate le
personale autorizzate all’accesso al locale.
Tale documentazione deve essere aggiornata ogni volta che cambiano le persone
autorizzate ad accedere nel locale, meglio se fatto ogni anno.
In caso di scheda sanitaria informatizzata deve essere prevista una parola chiave
per l’accesso al programma contenente i dati sanitari.
In caso di medici in rete deve essere prevista una parola chiave diversa per
ogni medico, onde poter avere visione degli eventuali accessi ai dati conservati.
Infatti le persone che vi accedono debbono essere identificabili.
In particolare, il
decreto legislativo 196/2003 (Codice in materia di protezione dei dati personali)
al titolo V prevede che i dati personali oggetto di trattamento siano custoditi
e controllati applicando le tecniche, relative a misure e organizzazione, più
sicure e aggiornate atte a ridurre al minimo i rischi di accesso non autorizzato
o di trattamento non consentito e non conforme alle finalità della raccolta,
nonché di distruzione o perdita, seppur accidentale. Nell’Allegato
B vengono esplicitate le modalità tecniche da adottare in caso di
trattamento dei dati con strumenti elettronici nonché i trattamenti con
strumenti diversi da quelli elettronici. Il documento programmatico sulla sicurezza
va compilato e aggiornato entro il 31 marzo di ogni anno. Per il 2004 andava rinnovato
o inoltrato ex novo entro il 30 giugno. La scadenza è poi stata spostata
a fine anno, quindi sono subentrati altri rinvii. In particolare per ciascun trattamento va riportato: una descrizione
sintetica e l’indicazione sintetica della natura dei dati trattati, la
struttura (reparto, funzione, ufficio, ecc.) all’interno della quale viene
realizzato il trattamento, il nome o l’identificativo dell’eventuale
banca dati dove sono contenuti i dati trattati, il luogo dove sono fisicamente
i dati (cioè dove si trova l’elaboratore sui cui dischi sono memorizzati
, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di
sicurezza), l’elenco e la descrizione sintetica degli strumenti utilizzati
per effettuare il trattamento, la descrizione sintetica e qualitativa della
rete informatica che collega i dispositivi d’accesso utilizzati dagli
incaricati ai dati (rete locale, extranet, internati), nonché le misure
di sicurezza adottate (vedi Guida
operativa del Garante delle Privacy).
Il decreto
legislativo 196/03 ribadisce l’obbligo di adozione di misure atte
alla tutela della sicurezza dei dati sensibili e prescrive l’obbligo di
redarre un documento programmatico
sulla sicurezza
L'adempimento in merito al documento programmatico sulla sicurezza (Dps) interessa ora tutti coloro (soggetti privati e
pubblici) che trattano dati sensibili, mentre in precedenza l'obbligo riguardava solo la gestione di dati sensibili
effettuati con elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico. Dunque
anche per gli archivi cartacei sono ora previste le procedure di tutela della sicurezza dei dati.