SCHEDA SANITARIA / Normative / Segreto / Tutela della segretezza

 

Le schede sanitarie debbono essere custodite in uno schedario dotato di serratura se ai locali accedono persone diverse dal medico titolare (anche solo l’addetto alle pulizie o i parenti del medico). La chiave deve essere custodita dal medico.
Qualora il medico si avvalga della collaborazione di personale di segreteria o di sostituti, questi debbono essere autorizzati per iscritto, specificando per quali competenze sono autorizzati a consultare le cartelle.
La lettera di autorizzazione deve essere conservata dal medico titolare e dagli interessati e deve essere disponibile nello studio per eventuali controlli (non deve essere timbrata alla posta o autenticata dal notaio e neppure spedita al Garante della privacy).
Su un altro foglio conservato nello studio medico debbono essere elencate le personale autorizzate all’accesso al locale.
Tale documentazione deve essere aggiornata ogni volta che cambiano le persone autorizzate ad accedere nel locale, meglio se fatto ogni anno.
In caso di scheda sanitaria informatizzata deve essere prevista una parola chiave per l’accesso al programma contenente i dati sanitari.
In caso di medici in rete deve essere prevista una parola chiave diversa per ogni medico, onde poter avere visione degli eventuali accessi ai dati conservati.
Infatti le persone che vi accedono debbono essere identificabili.
In particolare, il decreto legislativo 196/2003 (Codice in materia di protezione dei dati personali) al titolo V prevede che i dati personali oggetto di trattamento siano custoditi e controllati applicando le tecniche, relative a misure e organizzazione, più sicure e aggiornate atte a ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta, nonché di distruzione o perdita, seppur accidentale. Nell’Allegato B vengono esplicitate le modalità tecniche da adottare in caso di trattamento dei dati con strumenti elettronici nonché i trattamenti con strumenti diversi da quelli elettronici. In precedenza andava compilato il documento programmatico sulla sicurezza aggiornato entro il 31 marzo di ogni anno. Per il 2004 andava rinnovato o inoltrato ex novo entro il 30 giugno. La scadenza era poi stata spostata a fine anno, quindi sono subentrati altri rinvii. In particolare per ciascun trattamento andava riportato: una descrizione sintetica e l’indicazione sintetica della natura dei dati trattati, la struttura (reparto, funzione, ufficio, ecc.) all’interno della quale veniva realizzato il trattamento, il nome o l’identificativo dell’eventuale banca dati dove erano contenuti i dati trattati, il luogo dove erano fisicamente i dati (cioè dove si trovava l’elaboratore sui cui dischi erano memorizzati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza), l’elenco e la descrizione sintetica degli strumenti utilizzati per effettuare il trattamento, la descrizione sintetica e qualitativa della rete informatica che collega i dispositivi d’accesso utilizzati dagli incaricati ai dati (rete locale, extranet, internati), nonché le misure di sicurezza adottate (vedi Guida operativa del Garante delle Privacy).

Il decreto legislativo 196/03 ribadisce l’obbligo di adozione di misure atte alla tutela della sicurezza dei dati sensibili e prescriveva l’obbligo di redarre un documento programmatico sulla sicurezza. L’obbligo di redigere e mantenere aggiornato il DPS è stato abolito  a partire dal 2012 col DL 5/2012 articolo 45 comma 1 lettera c), restando realtro invariati tutti gli obblighi in materia di sicurezza.

L'adempimento in merito al documento programmatico sulla sicurezza (Dps) interessava tutti coloro (soggetti privati e pubblici) che trattavano dati sensibili, mentre in precedenza l'obbligo riguardava solo la gestione di dati sensibili effettuati con elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico. Anche per gli archivi cartacei erano previste le procedure di tutela della sicurezza dei dati.

In particolare, poiché i dati personali oggetti di trattamento vanno custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e di perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, le misure sono diverse a seconda che si tratti di archivi cartacei o informatici.

1) per gli archivi cartacei può essere sufficiente:
Inoltre, i dati devono essere conservati in zone dello studio non accessibili ai non autorizzati.
Agli autorizzati devono essere impartite istruzioni scritte per le operazioni di controllo, custodia e trattamento.

2) per i trattamenti con strumenti elettronici, invece, è utile:
Guida operativa per redigere il Documento programmatico sulla sicurezza
(obbligo abolito dal 2012)

Torna all'indice